以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。
LINUX Incident Response and Threat Hunting
Digital Forensics and Incident Response
English2024年10月21日(月)~2024年10月26日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
◆LiveOnline形式
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 - 以下の指示に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。これらの指示を注意深く読み、それに従わなければ、このコースに不可欠な実習に参加できず、満足できないままトレーニングが終了してしまいます。従って、このコースで指定されているすべての要件を満たすシステムを持って受講されることを強くお勧めします。
要約すると、VMwareの仮想化製品をインストールして実行できるシステムをご用意ください。M1/M2/M3 チップを搭載した macOS コンピューターは現在サポートされておらず、このコースで提供される仮想マシンを実行できないためご注意ください。
授業開始前にVMware Workstation 15またはVMware Fusion 7以上のバージョンをダウンロードし、システムにインストールしてください。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMwareのウェブサイトでトライアルに登録すると、期間限定のシリアル番号が送られてきます。
また、授業の前にシステムをバックアップしおてき、機密データをシステムに保存しないようにしてください。SANSはあなたのシステムやデータについて責任を負いかねます。
VMware Workstation 15 または VMware Fusion 7(またはそれ以上のバージョン)
FOR577 Linux Threat Hunting & Incident Response は、高度な持続的脅威(APT)である国家レベルの敵対勢力、組織犯罪シンジケート、組織的な犯罪行為など、企業ネットワーク内のさまざまな脅威を追い詰め、特定し、対抗し、回復するための高度なスキルを、対応者や脅威調査チームに提供します。常に更新されるこのコースは、エリートレスポンダーやハンターが実際の侵害ケースに対処するために使用している、実践的なインシデントレスポンスと脅威ハンティングの戦術とテクニックを教えることで、今日のインシデントに対処します。
FOR577では、Linuxプラットフォームへの攻撃を特定、分析、対応するために必要なスキルと、既存のコントロールを回避するステルス攻撃者を見つけるための脅威ハンティングテクニックを学びます。Linux プラットフォームに特化しながらも、証拠を収集し、分析し、その分析に基づいて意思決定を行うという、共通の基盤の上に構築されています。SANS SIFT Workstationに組み込まれたツールを使用することで、このコースは、対応者が高度な侵入に迅速かつ効果的に対応できるようにする包括的なソリューションを提供します。
このコースでは、エンドポイントの証拠、ログデータ、および日々のインシデントレスポンス活動で遭遇するその他の成果物を使用して、現実的な攻撃を中心に構築された最終的なキャップストーンに至るまで、多くの演習に取り組みます。偵察から初期侵入を経て、組織のネットワーク全体を横方向に移動するという、多段階の攻撃を行う高度な脅威行為者の証拠を発見することになります。キャップストーンでは、コース中に学んだことをすべてまとめ、発見したことを発表し、セキュリティをどのように改善できるかについて提言します。
このコースでは、インシデント対応者やフォレンジックアナリストが高度な攻撃を調査し対応する方法を学ぶために、SIFTワークステーションを幅広く使用します。このワークステーションには、何百ものフリーおよびオープンソースのツールが含まれており、最新のフォレンジックおよびインシデントレスポンスの商用レスポンスツールスイートと容易に一致します。仮想マシンは、ハンズオン・クラスの演習の多くで使用されます。SIFTワークステーションの特徴は以下の通りです:
FOR577 は Linux オペレーティングシステムに焦点を当てた上級インシデント対応コースです。基本的なフォレンジック技術や入門的な攻撃者テクニックは扱いません。受講者は Linux に関する詳細な知識は求められませんが、少なくとも SANS の SEC401 または SEC406 コースで提供されるレベルの知識を有していることが強く推奨されます。
「Linuxは、ほとんどすべての企業で見られる主流のオペレーティング・システムです。Linuxは、重要なサービスをホストし、機密性の高い個人データや財務データを保存するために使用されており、私たちが日常的に使用している基盤インフラを動かしているため、敵対者にとって価値の高いターゲットとなっています。さらに、Linux は他のオペレーティング・システムよりも「より安全」であるという認識がしばしばあり、その結果、セキュリティ・ツールの適用範囲があまり徹底されていません。この2つの要素が組み合わさることで、Linuxへの侵入はますます一般的になり、セキュリティ・オペレーション・センター/インシデント対応チームが完全に対応することが難しくなっています。最近のあるインシデントでは、攻撃者がある企業のファイアウォールに永続化メカニズムをインストールしましたが、Windowsに焦点を当てた対応と修復活動では発見されませんでした。
すべてのサイバーセキュリティ担当者は、環境内のあらゆるプラットフォーム上の攻撃に対処するための知識を持つ必要があります。つまり、Linux システムからデジタル証拠を収集して分析し、被害の程度を判断してインシデントの根本原因を特定する方法を理解することが不可欠です。デジタル証拠を分析することで、防御者は侵害の指標を特定し、攻撃者が使用したツール、テクニック、プロセスを特定することができます。この情報は、対策を開発し、今後同様の攻撃が発生しないようにするために使用することができます。」
- Taz Wake
概要
インシデント対応者や脅威ハンターは、高度な敵対者を特定、追跡、封じ込め、インシデントを修復するための最新のツール、テクニック、プロセス(TTP)で武装すべきである。DFIR の知識には、我々自身の TTP と敵対者が使用する TTP を含めることが重要である。セクション 1 では、インシデントレスポンスの基本を紹介し、次に Linux 環境で職務を遂行するための具体的なニーズを見ていく。このセクションでは、インシデントレスポンスが必要な理由を検討することから始め、標的型攻撃に対する企業の対応に適用される SANS の 6 段階のインシデントレスポンス手法を紹介します。
またこのセクションでは、Stark Skunkworks の侵入シナリオを紹介し、ラボの演習とキャップストーンの課題の舞台を整えます。続いて、インシデント対応担当者として、Linux コマンドラインをどのように活用し、特定のソフトウェアパッケージのインストールなど、一般的なアクティビティをどのように分析するかを見ていきます。
最後に、敵のキルチェーンに影響を与えるサイバー脅威インテリジェンスを開発することの重要性について考察します。フォレンジック・ライブ・レスポンスのテクニックと、単一のシステムにも企業全体にも適用できる戦術を実演します。
演習
トピックス
概要
ディスクの証拠収集と分析スキルは、セキュリティ侵害の発生源と範囲を特定できるため、インシデント対応者、フォレンジック調査官、脅威ハンターにとって極めて重要です。デジタル・フォレンジックの専門家は、攻撃がどのように発生したのか、どのデータがアクセスされたり盗まれたりしたのか、誰が責任を負ったのかを特定するために、ハードドライブ、ソリッドステートドライブ、USBドライブなどのディスクストレージデバイスからデータを収集し、保存する必要があります。このような重要な証拠がなければ、侵害に至るまでの出来事を再構築し、今後同様のインシデントが発生しないようにするために必要な手順を決定することは困難です。
さらに、ディスク解析のスキルは、対応担当者や調査担当者が攻撃に使用されたマルウェアや悪意のあるコードの種類を特定するのに役立ちます。この情報は、攻撃者が使用した戦術、技術、手順、およびその動機を特定するために不可欠です。ディスクに保存されたデータを分析することで、対応担当者や調査担当者は、疑わしいファイル、異常なネットワーク・トラフィック・パターン、その他の侵害の指標を特定することができます。そして、この情報を使って、さらなる攻撃のリスクを軽減するための対策を練ることができる。
基本的に、ディスクから証拠を収集する機能は、DFIRにとって非常に重要です。なぜなら、ほとんどのデジタル証拠はディスク・ストレージ・デバイスに保存されており、デバイスは対応者、調査官、脅威ハンターにとって不可欠な情報源となっているからです。ログ・データを収集する必要がある場合でも、ディスク・イメージから収集できれば、幅広いインシデント対応ソリューションの可能性が広がります。さらに、ディスク・ストレージ・デバイスには、削除されたファイルや過去の活動の残骸が保存されていることが多く、インシデントに至る一連の流れを知る貴重な手がかりとなります。
演習
トピックス
概要
セクション3では、オペレーティング・システムによって記録されたデータを使って、デバイスをプロファイリングし、ブート・シーケンス、カーネル・アクティビティ、ログイン、ユーザー・イベントを分析する方法について説明します。このセクションでは、デフォルトのログデータ、Auditd(これは全てのLinuxディストロでデフォルトで有効になっているわけではありませんが、是非とも有効にすることを検討すべきです)、そしてOperating System Journalについて説明します。
ログデータは、インシデントレスポンスと脅威ハンティングのための基本的な証拠ソースである。これにより調査者は、何がいつ起きたのかを理解することができる。組み込みの機能を使用することで、私たちは敵対者の行動を明らかにすることができ、うまく設定されたロギングを使用することで、攻撃者が私たちの調査から完全に隠れることはほとんど不可能になります。残念なことに、Linuxのロギングは、特にWindowsのDFIRのバックグラウンドを持っている場合、私たちが慣れ親しんでいるものとは大きく異なる可能性がある。調査者が直面する重大な問題には、Linuxディストロのログ・データの異なる方法、UTCとローカルのタイムスタンプの混在などがある。このセクションでは、これらの問題を管理し、軽減するために実施できる戦略について見ていく。
演習
トピックス
概要
セクション 4 では、これまで構築してきた知識を発展させ、より大規模な企業における侵入に対応するためのツールとテクニックを紹介する。このセクションでは、まず、対応の規模を拡大する方法と、これを支援するツールのいくつかを取り上げます。次に、このトピックをさらに発展させ、Linux 環境向けのエンドポイント検出とレスポンス(EDR)ソリューションに移り、高価な商用 EDR ツールの代替となる 2 つのツール、OSSEC と Velociraptor を紹介します。OSSEC と Velociraptor という高価な商用 EDR ツールに代わる 2 つのツールを紹介します。両ツールの設定方法と導入方法を説明することで、すべての Linux デバイスに質の高い監視と応答機能を持たせることができます。
最後に、このセクションではLinuxのメモリー構造と、解析のための揮発性データの収集方法について見ていきます。これは複雑なプロセスであり、今日の分析ツールはまだあるべき姿ではない。これは、EDRツールを活用することで、インストールされているRAMが数百ギガバイトに及ぶようなシステムからメモリをキャプチャするのに必要な時間と帯域幅を削減できるという利点もあります。
演習
トピックス
概要
このコースでは、インシデントレスポンス業務を強化するために増加した知識をどのように活用できるかを見ていくことで、これまでのセクションを基礎としていく。まず、特に大企業における最新のインシデントレスポンスに不可欠なトリアージについて見ていきます。どのデバイスにさらなる調査が必要かを迅速に判断するために、システムを迅速に評価するという概念を紹介する。このアプローチにより、大規模な環境でも迅速に作業を進め、最大限の価値を提供する場所に調査作業を集中させることができます。また、トリアージを促進し、応答時間を改善するのに役立つ、自由に利用できるツールについても見ていきます。
このセクションでは、次にタイムラインの生成について見ていく。タイムラインは間違いなくインシデント対応者のスーパーパワーであり、攻撃に関する最も深い秘密のいくつかを明らかにすることができる。タイムラインを作成するための2つの基本的な方法と、それらを効果的に分析する方法を見ていく。
タイムラインを理解したら、攻撃者がどのようにタイムラインを破ろうとするのかを見て、最も一般的なアンチフォレンジック技術と、インシデント対応者がどのように調査への影響を最小限に抑えることができるのかを検討します。最後に、Linux におけるインシデントレスポンスをより良いものにするための方法について、幅広く議論してこのセクションを閉じる。
演習
トピックス
概要
この驚くほど豊かで現実的な侵入フォレンジック・チャレンジは、現実世界の高度持続的脅威(APT)グループに基づくものです。コースを通して学んだテクニックを結集し、高度な敵による攻撃をシミュレートするケースで、新しく習得したスキルをテストします。課題は、Linuxエンタープライズ環境への実際の侵入に基づいています。最初の侵入でシステムがどのように侵害されたかを明らかにし、敵が横方向に移動した他のシステムを見つけ、データ流出によって盗まれた知的財産を特定することが求められます。この演習では、国家から金融犯罪シンジケート、活動家グループまで、さまざまな攻撃者の高度な脅威と戦ってきた数十年の経験を持つ講師陣が、実際の攻撃を調査する実習を行います。
トピックス
特定とスコープ:
封じ込めと脅威インテリジェンスの収集:
修復と復旧: