NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection
Purple Team
English2021年10月18日(月)~10月23日(土)
1日目:9:00 ~ 17:00
2日目~6日目:9:30 ~ 17:00
オンライン
840,000円(税込み 924,000円)
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースへフル参加するためには適切に構成されたシステムが必要です。この指示を注意深くお読みいただいて従っていただけない場合、このコースに不可欠となっている実践型演習に参加できず、ご受講の満足度を下げてしまう可能性があります。つきましては、指定されているすべての要件を満たすシステムを用意いただくことを強くお勧めします。
CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。そのことにより64ビットのゲスト仮想マシンがラップトップ上で動作できるようになります。Vmwareでは、ホストが64ビットゲスト仮想マシンをサポートしているかどうかを確認するWindowsおよびLinux用の無料ツールを提供しています。
講義開始の前に、VM Workstation Pro 15.5以降、VMware Fusion 11.5以降、またはVMware Workstation Player 15.5以降のバージョンをシステムにダウンロードしてインストールしてください。VMware WorkstationまたはFusionのライセンス版を所有していない場合は、VMwareから無料の30日間試用版をダウンロードできます。VMwareのWebサイトでトライアルの登録をすると、期限付きのシリアル番号が送送られてきます。
VirtualBoxやHyper-Vなどのその他の仮想化ソフトウェアは、講義中に互換性の問題やトラブルシューティングにおける問題が発生する可能性があり、適切ではありません。
Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10 Credential GuardおよびDevice Guardテクノロジーとの適合していません。これらの機能がシステムで有効になっている場合、講義中は無効にしてください。
コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、40 -50 GBになる場合があります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。
SANSではPDF形式のドキュメントの提供を開始しています。また、PDFに加えて電子版のワークブックを使用するクラスがあります。電子版のテキストを使用するクラスの数は急速に増加していますので、2台目のモニタやタブレットデバイスを用意し、インストラクターがプレゼンテーションを行っているときや、実習を行っているときに、講義の資料を表示できるようにしておくと便利です。
SEC 699は、パープルチームに関するSANSの先進的なコースです。このコースでは、データ侵害の防止・検知のための攻撃者エミュレーションに重点を置き、現実の企業や組織の環境に脅威アクターをエミュレートする方法について学習します。このコースの目標は、どのように攻撃者の技術をエミュレート・検知できるかを受講生に教示することにあります。
SEC 599コースとつながりを持つ高度なSANSのコースであり、授業時間の60%が演習に充てられています。主な内容には次の項目を含みます。
コースの執筆者であるErik Van Buggenhout (SEC 599コースのメイン著者) とJames Shewmaker (SEC 660コースの共著者) は、いずれもGIAC認定セキュリティエキスパート (GSE) で、レッドチームとブルーチームにおけるインシデント対応、セキュリティ監視、スレット・ハンティングなどを通じ、サイバー攻撃がどのように行われるか深く理解しています。このコースでは、これらのスキルセットを組み合わせて、データ侵害の防止とその検知のための攻撃者エミュレーションについて受講生に解説します。
このコースを通じて、次の事柄について理解を深めることができます。
このコースで受講生が入手できるもの
検出ラボ立ち上げのためのスクリプトが含まれた仮想マシン一式
このコースは「レッドチームとブルーチームでの活動で必要とされる高度なテクニックを学びたい」という、強い意志を参加の前提としており、テンポが速い上級者向けのコースです。このコースの受講準備、または受講の補完として、次の各コースのご受講をお勧めいたします。
プログラミング経験があることを強く推奨します(どのような言語でも構いません)。少なくともプログラミングの基本的な概念は学んでおくことをお勧めします。
ペネトレーションテストの基礎についても十分に理解しておく必要があります。また、LinuxとWindowsを熟知していることが必須です。TCP/IPとネットワークの概念についてもしっかり理解しておく必要があります。6日間にわたるSEC 699のコースは、次のように構成されています。
SEC 599に続き、このコースをSANS受講者のみなさんに提供できることを非常に楽しみにしています。SEC 699は、エンタープライズ・ラボ環境を活用した、ハンズオン型の攻撃者エミュレーションのコースであり、受講生からいただいた要望をもとに作成された素晴らしいコースです。みなさま、お待たせいたしました!
SEC 699の受講生は、エンタープライズ環境で適切にパープルチームの活動を行うための高度なレッドチームとブルーチームのテクニックを学びます。1週間を通して、私たちは『ヒントやコツ』を説明することにフォーカスするだけでなく、受講生自身がただしい攻撃者エミュレーションのために独自のツールを構築して利用できるようにします。これには、カスタム版のCaldera、SIGMA、Velociraptorの開発などを含みます。
SEC 699のラボ環境は、Teraformのプレイブックを使用して完全に構築されており、攻撃される可能性のある複数のドメインとフォレストをカバーしています。受講者は自分のAWSアカウントでラボ環境を稼働させることによって、受講後、数か月から数年にわたってさえもご自身での練習を続けることができます。
- Erik Van Buggenhout
ラボは、教えられたコンセプトを理解を促進するのに非常に役立つものでした。Jimは明確なコミュニケーションスタイルで、学習を意味あるものにしてくれました。
- Fitzroy Roswell, JP Morgan Chase
1日目の講義では、次の通り、2日目以降に向けた基礎固めをします。
※初日ではありますが、5種類の演習を徹底的に行っていきます。
4日目の講義では、次の内容について説明します。
5日目の講義では、次の内容について説明します。
SEC 699コースの最終日には、受講生は、レッドチームかブルーチームかを選んだうえで、キャップストーン演習に参加します。演習では、企業環境への侵入または防御を行います。
受講者は、このコースで学習したすべてのツールとテクニックを活用してキャップストーン演習に取り組む必要があります。