ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 577

LINUX Incident Response and Threat Hunting

Digital Forensics and Incident Response

English
日程

2024年10月21日(月)~2024年10月26日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
-
講師
Jim Clausing|ジム クラウジング
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年9月6日(金)
通常価格:2024年10月11日(金)
オプション
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR577 PC設定詳細

重要 - 以下の指示に従って設定したシステムを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。これらの指示を注意深く読み、それに従わなければ、このコースに不可欠な実習に参加できず、満足できないままトレーニングが終了してしまいます。従って、このコースで指定されているすべての要件を満たすシステムを持って受講されることを強くお勧めします。

要約すると、VMwareの仮想化製品をインストールして実行できるシステムをご用意ください。M1/M2/M3 チップを搭載した macOS コンピューターは現在サポートされておらず、このコースで提供される仮想マシンを実行できないためご注意ください。

授業開始前にVMware Workstation 15またはVMware Fusion 7以上のバージョンをダウンロードし、システムにインストールしてください。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMwareのウェブサイトでトライアルに登録すると、期間限定のシリアル番号が送られてきます。

また、授業の前にシステムをバックアップしおてき、機密データをシステムに保存しないようにしてください。SANSはあなたのシステムやデータについて責任を負いかねます。

ノートパソコンのハードウェア要件

  • CPU: 64-bit Intel i5/i7 x64 2.0+ GHz (第4世代以上) プロセッサ、またはそれ以上のシステムがこのクラスには必須です。(重要 - 必ずお読みください:64ビットシステムプロセッサ
    は必須です)
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • BIOS設定を 「Intel-VT」などの仮想化技術を有効にするように設定してください。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 350GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネットアクセスはできません。ローカル管理者アクセスが必要です。これは絶対に必要です。IT部門に言われないようにしてください。コース期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ローカル管理者アクセスが必要です。これは絶対に必要です。ITチームにそうでないと言われないようにしてください。あなたの会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • 注意:インターネットからダウンロードしたバージョンの SIFT Workstation は使用しないでください。コース初日に、トレーニング用に特別に設定されたカスタム FOR577 バージョンを提供します。

ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)

その他の注意事項

  • コースのメディアは、SANSの「コース資料ダウンロード」ページからダウンロードできます。授業で使用するメディアファイルは、40~50GBの大容量になります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネットの接続や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業開始前夜にダウンロードを開始すると、失敗する可能性が高くなります。
  • SANSは、PDF形式の印刷教材の提供を開始しました。このコースでは、PDFに加えて電子ワークブックを使用します。講師が授業を行っている間や、ラボの演習に取り組んでいる間、授業資料を見やすくするために、2台目のモニターやタブレット端末があると便利です。
  • その他、有用と思われるフォレンジックツール(EnCase、FTKなど)を持参またはインストールしてください。コースの最後に行われる最終課題では、市販のものを含め、どのようなフォレンジックツールを利用しても構いません。ドングルやライセンスされたソフトウェアがあれば、自由に使ってください。
  • 繰り返しますが、インターネットからダウンロードしたバージョンのSIFT Workstationは使用しないでください。コース初日に、FOR577 の教材用に特別に設定されたバージョンをお渡しします。
    ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

FOR577 コース概要

学習内容

FOR577 Linux Threat Hunting & Incident Response は、高度な持続的脅威(APT)である国家レベルの敵対勢力、組織犯罪シンジケート、組織的な犯罪行為など、企業ネットワーク内のさまざまな脅威を追い詰め、特定し、対抗し、回復するための高度なスキルを、対応者や脅威調査チームに提供します。常に更新されるこのコースは、エリートレスポンダーやハンターが実際の侵害ケースに対処するために使用している、実践的なインシデントレスポンスと脅威ハンティングの戦術とテクニックを教えることで、今日のインシデントに対処します。

FOR577では、Linuxプラットフォームへの攻撃を特定、分析、対応するために必要なスキルと、既存のコントロールを回避するステルス攻撃者を見つけるための脅威ハンティングテクニックを学びます。Linux プラットフォームに特化しながらも、証拠を収集し、分析し、その分析に基づいて意思決定を行うという、共通の基盤の上に構築されています。SANS SIFT Workstationに組み込まれたツールを使用することで、このコースは、対応者が高度な侵入に迅速かつ効果的に対応できるようにする包括的なソリューションを提供します。

このコースでは、エンドポイントの証拠、ログデータ、および日々のインシデントレスポンス活動で遭遇するその他の成果物を使用して、現実的な攻撃を中心に構築された最終的なキャップストーンに至るまで、多くの演習に取り組みます。偵察から初期侵入を経て、組織のネットワーク全体を横方向に移動するという、多段階の攻撃を行う高度な脅威行為者の証拠を発見することになります。キャップストーンでは、コース中に学んだことをすべてまとめ、発見したことを発表し、セキュリティをどのように改善できるかについて提言します。

習得できるスキル

  • さまざまな敵対者を効果的にハント、検出、封じ込め、インシデントを修復するために必要なツール、テクニック、手順を使用する
  • SIFTワークステーションを使用したLinuxシステムのハントとインシデントレスポンスの実行
  • 分析技術により、コマンド&コントロール(C2)チャネルに発信されるマルウェアのビーコンを特定し、追跡する。
  • ビーチヘッドとスピアフィッシング攻撃のメカニズムを特定することで、侵害がどのように発生したかを判断します。
  • 詳細なタイムラインとスーパー・タイムライン分析により、分析対象のシステムにおけるユーザーと攻撃者の活動を秒単位で追跡します。
  • 企業内の横方向の動きとピボット(分岐点)を特定し、攻撃者がどのように検知されずにシステムからシステムへ移行するかを示します。
  • 攻撃者が重要なデータを収集し、それらのデータを流出収集ポイントに移す際のデータの動きを追跡します。
  • APTのような攻撃者が企業ネットワークから機密データを流出させるために使用するアーカイブおよびアーカイブ・ファイル(.rar、.tarなど)を復元し、分析します。
  • 収集したデータを使用して、企業全体にわたって効果的な修復を実行します。

ビジネス上の要点

  • プロアクティブな侵害評価を実施するために、攻撃者の手口を理解する。
  • 新しい攻撃手法と利用可能なフォレンジック・アーチファクトをより深く理解し、重要な攻撃経路に焦点を当てることで、検知能力を向上させる。
  • 脅威インテリジェンスを開発し、標的となる敵対者を追跡し、将来の侵入イベントに備える。
  • アンチフォレンジックや技術的対象からのデータ隠蔽に対抗するための高度なフォレンジックスキルを構築し、社内外の調査で活用できるようにする。

コーストピック

  • インシデントレスポンスとデジタルフォレンジックを実行するための、SIFT Workstationの幅広いオープンソースツールの高度な使用法
  • 国家行為者、組織犯罪、ハクティビストなどの高度な敵対者の狩猟と対応
  • 侵害の迅速な特定を支援する脅威ハンティング技術
  • 迅速なインシデント対応分析と侵害評価
  • インシデント対応と侵入フォレンジックの方法論
  • インシデントレスポンスと脅威ハンティングにおけるディスクとメモリを含む証拠収集
  • 内部横移動の分析と検出
  • 迅速かつ深く掘り下げたタイムラインの作成と分析
  • 敵の脅威インテリジェンスの開発、侵害の指標、および使用法
  • サイバーキルチェーン戦略
  • 侵入事例に対応し調査するための段階的な戦術と手順

本コースの提供教材

  • SIFTワークステーション

このコースでは、インシデント対応者やフォレンジックアナリストが高度な攻撃を調査し対応する方法を学ぶために、SIFTワークステーションを幅広く使用します。このワークステーションには、何百ものフリーおよびオープンソースのツールが含まれており、最新のフォレンジックおよびインシデントレスポンスの商用レスポンスツールスイートと容易に一致します。仮想マシンは、ハンズオン・クラスの演習の多くで使用されます。SIFTワークステーションの特徴は以下の通りです:

  • Ubuntu Linux LTSベース
  • 64ビットベースシステム
  • メモリ使用率の向上
  • DFIRパッケージの自動更新とカスタマイズ
  • 最新のフォレンジックツールと技術
  • フォレンジックに取り組む準備が整ったVMwareアプライアンス
  • LinuxとWindowsの相互互換性
  • 拡張されたファイルシステムのサポート(NTFS、HFS、EXFATなど)
  • 電子ダウンロードパッケージ
    • APT侵入によって侵害されたシステムのケースイメージ(ディスクとメモリ
    • SIFT Workstation仮想マシン、ツール、ドキュメント
    • 演習書は250ページを超え、インシデント対応の達人になるための詳細なステップ・バイ・ステップの手順と例が記載されています。

受講対象者

前提条件

FOR577 は Linux オペレーティングシステムに焦点を当てた上級インシデント対応コースです。基本的なフォレンジック技術や入門的な攻撃者テクニックは扱いません。受講者は Linux に関する詳細な知識は求められませんが、少なくとも SANS の SEC401 または SEC406 コースで提供されるレベルの知識を有していることが強く推奨されます。

講義内容の一例

コース開発者より

「Linuxは、ほとんどすべての企業で見られる主流のオペレーティング・システムです。Linuxは、重要なサービスをホストし、機密性の高い個人データや財務データを保存するために使用されており、私たちが日常的に使用している基盤インフラを動かしているため、敵対者にとって価値の高いターゲットとなっています。さらに、Linux は他のオペレーティング・システムよりも「より安全」であるという認識がしばしばあり、その結果、セキュリティ・ツールの適用範囲があまり徹底されていません。この2つの要素が組み合わさることで、Linuxへの侵入はますます一般的になり、セキュリティ・オペレーション・センター/インシデント対応チームが完全に対応することが難しくなっています。最近のあるインシデントでは、攻撃者がある企業のファイアウォールに永続化メカニズムをインストールしましたが、Windowsに焦点を当てた対応と修復活動では発見されませんでした。

すべてのサイバーセキュリティ担当者は、環境内のあらゆるプラットフォーム上の攻撃に対処するための知識を持つ必要があります。つまり、Linux システムからデジタル証拠を収集して分析し、被害の程度を判断してインシデントの根本原因を特定する方法を理解することが不可欠です。デジタル証拠を分析することで、防御者は侵害の指標を特定し、攻撃者が使用したツール、テクニック、プロセスを特定することができます。この情報は、対策を開発し、今後同様の攻撃が発生しないようにするために使用することができます。」

- Taz Wake

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

LINUX Incident Response And Analysis

概要

インシデント対応者や脅威ハンターは、高度な敵対者を特定、追跡、封じ込め、インシデントを修復するための最新のツール、テクニック、プロセス(TTP)で武装すべきである。DFIR の知識には、我々自身の TTP と敵対者が使用する TTP を含めることが重要である。セクション 1 では、インシデントレスポンスの基本を紹介し、次に Linux 環境で職務を遂行するための具体的なニーズを見ていく。このセクションでは、インシデントレスポンスが必要な理由を検討することから始め、標的型攻撃に対する企業の対応に適用される SANS の 6 段階のインシデントレスポンス手法を紹介します。

またこのセクションでは、Stark Skunkworks の侵入シナリオを紹介し、ラボの演習とキャップストーンの課題の舞台を整えます。続いて、インシデント対応担当者として、Linux コマンドラインをどのように活用し、特定のソフトウェアパッケージのインストールなど、一般的なアクティビティをどのように分析するかを見ていきます。

最後に、敵のキルチェーンに影響を与えるサイバー脅威インテリジェンスを開発することの重要性について考察します。フォレンジック・ライブ・レスポンスのテクニックと、単一のシステムにも企業全体にも適用できる戦術を実演します。

演習

  • SIFTワークステーションのオリエンテーション
  • インシデントレスポンスにおける状況認識 Stark Skunkworksの理解
  • Linuxコマンドの紹介とデジタルフォレンジックとインシデントレスポンス(DFIR)での使用方法
  • パッケージ管理証拠のレビュー
  • 脅威インテリジェンスと脅威ハンティング

トピックス

  • インシデントレスポンスが必要な理由
    • 敵とは?
    • Linux侵入の現状
  • インシデント対応プロセス
    • 準備:インシデント対応チームが侵入に適切に対応するために必要な主なツール、テクニック、手順
    • 特定/スコープ: インシデントの適切なスコープと企業内のすべての侵害されたシステムの検出
    • 封じ込め/情報開発: 脅威インテリジェンスを開発するために、アクセスを制限し、敵対者を監視し、学習する。
    • 根絶/修復: 現在のインシデントを阻止し、リアルタイムの修復に移行するために必要な主要ステップを決定し、実行する。
    • 復旧:脅威インテリジェンスを記録し、同様の敵対者が再び企業に侵入してきた場合に活用する。
    • 「モグラたたき」的なインシデント対応を避ける: 適切なインシデントのスコープ/コンテインメントを行わず、即座の根絶を目指す
  • SRL Skunkworks
    • コースシナリオの紹介
    • クライアントの背景
  • Linux入門
    • Linuxの基礎
    • DFIRの課題
    • ディストロ問題
    • Linuxターミナルの基本
  • パッケージ管理
    • ディストロの違い
    • パッケージ管理ツールの違い
    • 手動分析
  • 脅威インテリジェンスとホストベースの脅威ハンティング
    • ハンティングとリアクティブな対応
    • インテリジェンス主導のインシデント対応
    • 継続的なインシデントレスポンス/脅威ハンティング機能の構築
    • エンドポイントにおけるフォレンジック分析と脅威ハンティングの比較
    • 脅威ハントチームの役割

Disk Analysis and Evidence Collection

概要

ディスクの証拠収集と分析スキルは、セキュリティ侵害の発生源と範囲を特定できるため、インシデント対応者、フォレンジック調査官、脅威ハンターにとって極めて重要です。デジタル・フォレンジックの専門家は、攻撃がどのように発生したのか、どのデータがアクセスされたり盗まれたりしたのか、誰が責任を負ったのかを特定するために、ハードドライブ、ソリッドステートドライブ、USBドライブなどのディスクストレージデバイスからデータを収集し、保存する必要があります。このような重要な証拠がなければ、侵害に至るまでの出来事を再構築し、今後同様のインシデントが発生しないようにするために必要な手順を決定することは困難です。

さらに、ディスク解析のスキルは、対応担当者や調査担当者が攻撃に使用されたマルウェアや悪意のあるコードの種類を特定するのに役立ちます。この情報は、攻撃者が使用した戦術、技術、手順、およびその動機を特定するために不可欠です。ディスクに保存されたデータを分析することで、対応担当者や調査担当者は、疑わしいファイル、異常なネットワーク・トラフィック・パターン、その他の侵害の指標を特定することができます。そして、この情報を使って、さらなる攻撃のリスクを軽減するための対策を練ることができる。

基本的に、ディスクから証拠を収集する機能は、DFIRにとって非常に重要です。なぜなら、ほとんどのデジタル証拠はディスク・ストレージ・デバイスに保存されており、デバイスは対応者、調査官、脅威ハンターにとって不可欠な情報源となっているからです。ログ・データを収集する必要がある場合でも、ディスク・イメージから収集できれば、幅広いインシデント対応ソリューションの可能性が広がります。さらに、ディスク・ストレージ・デバイスには、削除されたファイルや過去の活動の残骸が保存されていることが多く、インシデントに至る一連の流れを知る貴重な手がかりとなります。

演習

  • スルース・キットの紹介
  • ファイルシステム・データのレビュー
  • ディスクの証拠収集
  • オペレーティングシステムのファイルシステムのレビュー

トピックス

  • スルースキット
    • 導入とレイヤーモデル
    • ファイルシステム層ツール
    • ファイル名レイヤーのツール
    • メタデータ レイヤー ツール
    • データ ユニット レイヤー ツール
    • アプリケーション・レイヤー・ツール
  • Linuxファイルシステム
    • 概要
    • 基本構造 - スーパーブロックとinode
    • Extファミリー
    • XFSファミリー
    • 手動によるデータの抽出
  • ディスクの証拠収集
    • 物理システムと仮想システム
    • dd
    • dcfldd
    • dc3dd
    • Ewfacquire
  • 画像のマウント
    • RAW/シンプルファイル
    • E01形式の証拠ファイル
    • 複雑なファイル
  • オペレーティングシステムのファイル構造
    • ファイルシステム階層
    • ブートファイルの場所
    • バイナリファイルの場所
    • 設定ファイルの場所
    • デバイスとドライバファイルの場所
    • 共有ライブラリ
    • ユーザープロファイル
    • オプションでインストールされたファイル
    • 一時ファイルの場所
    • ランタイムデータ
  • ファイルシステムのアーティファクト
    • ハンティングのヒント
    • 調査すべき領域

LINUX Logging and Log Analysis

概要

セクション3では、オペレーティング・システムによって記録されたデータを使って、デバイスをプロファイリングし、ブート・シーケンス、カーネル・アクティビティ、ログイン、ユーザー・イベントを分析する方法について説明します。このセクションでは、デフォルトのログデータ、Auditd(これは全てのLinuxディストロでデフォルトで有効になっているわけではありませんが、是非とも有効にすることを検討すべきです)、そしてOperating System Journalについて説明します。

ログデータは、インシデントレスポンスと脅威ハンティングのための基本的な証拠ソースである。これにより調査者は、何がいつ起きたのかを理解することができる。組み込みの機能を使用することで、私たちは敵対者の行動を明らかにすることができ、うまく設定されたロギングを使用することで、攻撃者が私たちの調査から完全に隠れることはほとんど不可能になります。残念なことに、Linuxのロギングは、特にWindowsのDFIRのバックグラウンドを持っている場合、私たちが慣れ親しんでいるものとは大きく異なる可能性がある。調査者が直面する重大な問題には、Linuxディストロのログ・データの異なる方法、UTCとローカルのタイムスタンプの混在などがある。このセクションでは、これらの問題を管理し、軽減するために実施できる戦略について見ていく。

演習

  • システムとログのプロファイリング
  • システムログのレビュー
  • 認証ログの分析
  • ウェブサーバのログのレビュー
  • データベースログのレビュー
  • ジャーナルのauditdログ

トピックス

  • デバイスのプロファイリング
    • 証拠管理
    • デバイスの確認
    • タイムゾーンの確認
    • ディストロの検証
  • Linuxログ
    • Linuxログの基本
    • ログ分析戦略
    • SyslogとLogrotate
    • グローバル・システム・ログ -- カーネル、ブート・プロセス、システム・メッセージ、バックグラウンド・サービスのログ記録
    • 認証ログ -- 認証、権限の使用、バイナリとプレーンテキストのログフォーマット
    • アプリケーションログ -- ウェブサーバー、データベース、ファイル共有、ファイアウォールのログ
  • 監査
    • はじめに
    • ログファイル形式
    • 分析テクニック
  • オペレーティングシステムジャーナル
    • はじめに
    • ジャーナルの仕組み
    • ログに記録される内容
    • 解析テクニック

Live Response and Volatile Data

概要

セクション 4 では、これまで構築してきた知識を発展させ、より大規模な企業における侵入に対応するためのツールとテクニックを紹介する。このセクションでは、まず、対応の規模を拡大する方法と、これを支援するツールのいくつかを取り上げます。次に、このトピックをさらに発展させ、Linux 環境向けのエンドポイント検出とレスポンス(EDR)ソリューションに移り、高価な商用 EDR ツールの代替となる 2 つのツール、OSSEC と Velociraptor を紹介します。OSSEC と Velociraptor という高価な商用 EDR ツールに代わる 2 つのツールを紹介します。両ツールの設定方法と導入方法を説明することで、すべての Linux デバイスに質の高い監視と応答機能を持たせることができます。

最後に、このセクションではLinuxのメモリー構造と、解析のための揮発性データの収集方法について見ていきます。これは複雑なプロセスであり、今日の分析ツールはまだあるべき姿ではない。これは、EDRツールを活用することで、インストールされているRAMが数百ギガバイトに及ぶようなシステムからメモリをキャプチャするのに必要な時間と帯域幅を削減できるという利点もあります。

演習

  • EDRツール
  • RAMのキャプチャ
  • ライブ・メモリ解析

トピックス

  • エンタープライズ・レスポンス
    • はじめに
    • 問題と解決策
    • 検討すべきツール
  • エンドポイント検出とレスポンス(EDR)
    • はじめに
    • Linux EDRの問題点
    • 商用EDRの代替
    • OSSECの導入と使用
    • Velociraptorの導入と使用
  • LinuxのメモリとDFIR
    • メモリが重要な理由
    • AVMLによるメモリ取得
    • ファイルシステム上のメモリ位置
  • ライブメモリ解析
    • /procのレビュー
    • ライブ応答のワークフロー

Advanced Incident Response Techniques

概要

このコースでは、インシデントレスポンス業務を強化するために増加した知識をどのように活用できるかを見ていくことで、これまでのセクションを基礎としていく。まず、特に大企業における最新のインシデントレスポンスに不可欠なトリアージについて見ていきます。どのデバイスにさらなる調査が必要かを迅速に判断するために、システムを迅速に評価するという概念を紹介する。このアプローチにより、大規模な環境でも迅速に作業を進め、最大限の価値を提供する場所に調査作業を集中させることができます。また、トリアージを促進し、応答時間を改善するのに役立つ、自由に利用できるツールについても見ていきます。

このセクションでは、次にタイムラインの生成について見ていく。タイムラインは間違いなくインシデント対応者のスーパーパワーであり、攻撃に関する最も深い秘密のいくつかを明らかにすることができる。タイムラインを作成するための2つの基本的な方法と、それらを効果的に分析する方法を見ていく。

タイムラインを理解したら、攻撃者がどのようにタイムラインを破ろうとするのかを見て、最も一般的なアンチフォレンジック技術と、インシデント対応者がどのように調査への影響を最小限に抑えることができるのかを検討します。最後に、Linux におけるインシデントレスポンスをより良いものにするための方法について、幅広く議論してこのセクションを閉じる。

演習

  • トリアージツールの実行
  • トリアージ評価
  • ファイルシステムのタイムライン
  • スーパー・タイムラインの作成
  • スーパータイムライン分析

トピックス

  • トリアージとDFIRツール
    • 導入とコンセプト
    • ワークフロー
    • データの収集
    • オープンソースのトリアージツール
    • CyLR
    • GRR
    • ヴェロキラプトルのオフラインコレクター
    • 解剖
    • UACによるトリアージ
    • 独自のトリアージスクリプトを構築する
  • タイムライン
    • はじめに
    • タイムラインの種類
    • ファイルシステムタイムラインの作成と分析
    • スーパータイムラインの作成と分析
    • ターゲットタイムラインの作成
  • フォレンジック対策
    • 何を探すか
    • タイムスタンプの操作
    • 削除されたファイルの復元
  • インシデントレスポンスの改善
    • ワークフロー
    • 環境のハード化

The APT Incident Response Challenge

概要

この驚くほど豊かで現実的な侵入フォレンジック・チャレンジは、現実世界の高度持続的脅威(APT)グループに基づくものです。コースを通して学んだテクニックを結集し、高度な敵による攻撃をシミュレートするケースで、新しく習得したスキルをテストします。課題は、Linuxエンタープライズ環境への実際の侵入に基づいています。最初の侵入でシステムがどのように侵害されたかを明らかにし、敵が横方向に移動した他のシステムを見つけ、データ流出によって盗まれた知的財産を特定することが求められます。この演習では、国家から金融犯罪シンジケート、活動家グループまで、さまざまな攻撃者の高度な脅威と戦ってきた数十年の経験を持つ講師陣が、実際の攻撃を調査する実習を行います。

トピックス

  • インシデントレスポンスチームで、企業ネットワーク内の複数のシステムを分析する
  • マルチデバイス環境における攻撃者の行動を特定・追跡し、初期攻撃、偵察、永続化、特権の昇格、横方向への移動、データの盗難・流出を発見する方法を学ぶ
  • インシデントレスポンスへのチームベースのアプローチを目撃し、参加する
  • カスタム国家マルウェアを含む、最も一般的で洗練された攻撃の証拠を発見する。
  • 各チームは、各自の組織で実際に侵害が発生した場合と同様に、以下の重要な分野における重要な質問に答えるよう求められます:

特定とスコープ:

  • APTグループはいつ当社のネットワークに侵入したのか?
  • 攻撃者はどのようにして環境に侵入したのか?
  • どのシステムが侵害されたか?
  • 攻撃者は各システムでどのようなアカウントと権限を取得したか?
  • 攻撃者はいつ、どのように各システムに侵入したのか?

封じ込めと脅威インテリジェンスの収集:

  • 他のシステムに移動した後、攻撃者は各システムで何を探したか?
  • どのデータがどのように流出したか?何が盗まれたかを特定し(流出したアーカイブを復元し、エンコード・パスワードを見つけ、コンテンツを抽出して、抽出されたデータを検証する)、被害評価を行う。
  • 攻撃に使用されたすべてのマルウェアを収集し、リストアップする。
  • APT グループの「ビーコン」マルウェアに関するセキュリティ・インテリジェンスまたは侵害の指標を作成し、ホストベースとネットワークベースの両方のエンタープライズ・スコープに提示する。このマルウェアが使用された具体的な指標は何か。

修復と復旧:

  • パスワード変更が必要なアカウントは?悪意のあるアカウントが作成されたか?
  • インシデント中に発見された攻撃者のテクニックとツールに基づき、このインシデントの修復と回復のために推奨される手順は何か?
    • 再構築が必要なシステムは何か?
    • どのIPアドレスをブロックする必要があるか?
    • このような攻撃者が戻ってきた場合、それを阻止するためにどのような対策を講じるべきか?
    • このような侵入者を再びネットワークで検出するためには、どのような対策を講じるべきでしょうか?

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。