ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 511

Continuous Monitoring and Security Operations

Blue Team Operations

English
日程

2024年10月21日(月)~2024年10月26日(土)

期間
6日間
講義時間

1日目: 9:00-19:30
2日目~5日目: 9:30-19:30
6日目: 9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GMON
講師
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
48 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年9月6日(金)
通常価格:2024年10月11日(金)
オプション
  • GIAC試験 160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,500円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC511 PC設定詳細

重要:次の指示に沿って設定されたシステムをご用意ください。

講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ノートパソコンのハードウェア要件、ソフトウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 100GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

SEC511ホストOSの必須要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40〜50GBの範囲で、100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境ではセカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jpNRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

SEC511 コース概要

攻撃者は進化し、テクノロジーは変化する。
クラウド(AWS/Azure/Microsoft 365/サーバーレス)、DevOps、ハイブリッド、ゼロトラスト、XDR、ブロックチェーン、AI+ML......技術革新のスピードは上がり続けている。5年前と同じように組織を守ることは失敗のもとだ。しかし、最新のトレンドやピカピカのツールを追い求めても、防御が成功することはほとんどない。現代の企業防衛を成功させるには、軽快な実用主義が必要なのだ。

企業を守ることは決して簡単なことではありません。SANS SEC511は、現代のハイブリッド・エンタープライズの防御と監視を成功させるために必要な知識、スキル、能力を防御者に提供します。このコースで学ぶ防御可能なセキュリティ・アーキテクチャ、ネットワーク・セキュリティ・モニタリング(NSM)/継続的診断と緩和(CDM)/継続的セキュリティ・モニタリング(CSM)は、組織やセキュリティ・オペレーション・センター(SOC)が脅威を分析し、サイバー犯罪者の行動を示す可能性のある異常を検出するために最適な位置づけとなります。SEC511は、AWS、Azure、およびオンプレミス環境にこれらのコアプロテクションプラクティスを適用します。付属のGIAC GMON認定を取得することで、最新の防御技術を理解し、適用していることが証明されます。

現代の企業を保護し、継続的に監視するためには、複数のパブリッククラウドプロバイダー、継続的なオンプレミスインフラ、そしておそらくは従来のセキュリティ境界線から外れている相当数のリモートワーカーを考慮する必要があります。

ハイブリッド化が進む組織が直面する新たな現実への適応と進化に失敗したセキュリティ・チームは、時代遅れのメンタル・モデルや不適切な戦術を採用するリスクを負うことになる。継続的なモニタリングは、セキュリティ・チームに継続的な進化を要求する。多くの組織が、クラウドのセキュリティに注力する一方で、オンプレミスのセキュリティは後回しにしてしまうという重大な過ちを犯している(あるいはその逆)。両方のニーズを適切にバランスさせる必要がある。攻撃者は、継続的な成功を確実にするために、常にテクニックを進化させています。私たちは、この変化する脅威の状況に防御を適応させなければなりません。

このコースは、あなたの組織を支援します:
  • 効果的なクラウド、ネットワーク、エンドポイントの保護と検出戦略の実現
  • 最新のハイブリッド企業向けに、防御可能なセキュリティアーキテクチャと運用を設計する
  • 組織のセキュリティ運用能力を大幅に向上させる
  • ハイブリッド・インフラストラクチャ全体の保護と検知のギャップを特定する
  • 現在のインフラと資産の能力を最大限に活用する
  • データの意味を理解し、潜在的な侵入や不正行為を迅速に検知できるようにする
このコースでは、次のことができるようになります。
  • 現代のハイブリッド企業を分析し、保護/検知戦略の欠陥を発見する
  • コースで学んだ原則を適用して、防御可能なクラウド、ネットワーク、エンドポイントセキュリティのアーキテクチャと運用を設計する
  • ハイブリッド企業における検出優位のセキュリティ・アーキテクチャとセキュリティ・オペレーション・センター(SOC)の重要性を理解する
  • ハイブリッドインフラストラクチャにおけるクラウド、ネットワーク、エンドポイントの保護と監視の主要コンポーネントを特定する
  • あらゆる規模の組織における適切なセキュリティ監視のニーズを把握する

上記のリストは、あなたが学ぶ知識とスキルの概要を簡単に説明したものですが、このコースが提供する内容のほんの表面をなぞったにすぎません。コースの至る所に盛り込まれた実践的な要素は、重要な概念と原則を強化します。

本講座受講にあたっての前提

  • ネットワークプロトコルとネットワーク機器に関する基本的な理解を持っている
  • コマンドラインでLinuxおよびWindowsに関する操作を行ったことがある、または行える

受講対象者

  • セキュリティアーキテクト
  • シニアセキュリティエンジニア
  • テクニカルセキュリティマネージャー
  • SOCアナリスト
  • SOCエンジニア
  • SOCマネージャー
  • CND(Computer Network Defense)アナリスト
  • ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)といったセキュリティ戦略の導入を行う方

※SEC511は、GIAC(GMON)認定試験対象コースです。

GIAC Continuous Monitoring (GMON)認定は、侵入を阻止し、異常な活動を迅速に検出する能力を証明するものです。GMON認定者は、防御可能なセキュリティ・アーキテクチャ、ネットワーク・セキュリティ監視、継続的な診断と緩和、継続的なセキュリティ監視に関する知識を実証しています。

  • セキュリティ・アーキテクチャとセキュリティ・オペレーション・センター(SOC)
  • ネットワーク・セキュリティ・アーキテクチャとモニタリング
  • エンドポイントセキュリティアーキテクチャ、自動化、継続的モニタリング

コース開発者より

「多くの企業・組織は攻撃者から侵害される可能性があり、その可能性と向き合い始めたばかりです。境界防御に焦点を当てた予防的セキュリティ管理だけでは防ぐことはできません。攻撃者は、単に組織内の抜け穴を見つけるに過ぎず、内部セキュリティ管理の欠如は、攻撃者が目標を達成するために時間を費やすことを可能にしてしまいます。このコースでは、”セキュリティアーキテクチャと持続的監視の現状”を評価して、容易に理解しながら擁護できるセキュリティアーキテクチャに対する新しいアプローチについて学びます。私たちがこのコースで最も気に入っているのは、受講生がこれから取り組む上で、敵を断念させる最も効果的な形で組織化するためのアクション項目リストがあることです。受講生は、自組織のセキュリティアーキテクチャの不備を評価し、期待される警戒値からの偏りを継続的に監視できるような意味ある変化をもたらすことでしょう。」
- Eric Conrad and Seth Misenar

SEC511は、学ぶべき具体的な事柄に焦点を当てるだけでなく、分析的な考え方を促進するのにも役立っている。
- Calvin Harris, Exelon

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

現状評価とセキュリティ・アーキテクチャ

侵入防止に偏重したセキュリティモデルは失敗に終わっています。現実の侵害被害の頻度と規模を考えれば、別に驚くべきことではないでしょう。企業のシステムとネットワークが敵の支配下に陥ることを防ぐには、問題の根本に対処するために現在のアーキテクチャとセキュリティデザインのギャップを理解しなければなりません。では、何を改善する必要があるのでしょうか。そして、敵に打ち勝つことができるのでしょうか。何を行えば、勝てるのでしょうか。本質的なセキュリティ体制を改善するのであれば、これらの問いに答えなければなりません。

このコースでは、このような問い・目標に達するために必要なコア技術、セキュリティの原則を示していきます。近年の効率的なSOCやセキュリティアーキテクチャは、迅速な侵入検知と封込および対処能力を前提としています。目的を達成するためには、持続的な監視の実現と関連する膨大な知識が必要です。

演習

  • Security OnionとCyberChefによる伝統的な攻撃手法の検出
  • Security Onionによる最新の攻撃手法の検出
  • ELSAによる出力分析
  • NetWars(1日目):短期集中サイバーチャレンジ

トピック

  • 従来のセキュリティアーキテクチャー
    • ペリメーター重視
    • レイヤー3/4に対応
    • 情報システムの一元化
    • 予防指向
    • デバイス駆動型
    • 従来の攻撃手法
  • Security Onion 2.Xの紹介
    • アラートメニュー
    • ハントメニューへのピボッティング
    • PCAPメニュー
  • モダンセキュリティアーキテクチャーの原理
    • 検知重視型
    • ポストエクスプロイト重視
    • 情報システム・データの分散化
    • リスク情報
    • レイヤー7への対応
    • セキュリティオペレーションセンター
    • ネットワークセキュリティ監視
    • 継続的なセキュリティ監視
    • 最新の攻撃手法
    • 敵対的優位性
    • MITRE ATT&CK
  • セキュリティアーキテクチャー - 主要な技術/プラクティス
    • 脅威ベクトル分析
    • データ流出分析
    • 検知の優位性設計
    • 侵入のキルチェーン
    • 可視化分析
    • 側方移動分析
    • データ出入口マッピング
    • 内部セグメンテーション
    • ネットワークセキュリティ監視
    • 継続的なセキュリティ監視
  • クラウドデプロイメントモデル
    • クラウドの共有責任
    • インフラストラクチャー・アズ・コード(IaC)
    • 過剰に公開されたクラウドサービス リークバケット
    • クラウドネットワークの可視化
  • MITRE ATT&CK®とAWSセキュリティスタック
    • AWSセキュリティハブ
    • AWS アイデンティティ&アクセス管理(IAM)
    • AWS CloudTrail
    • アマゾンクラウドウォッチ
    • AWSファイアウォールマネージャー
    • AWS WAF + AWS シールド
    • アマゾン仮想プライベートクラウド(VPC)
    • Amazon GuardDuty
    • Amazon Inspector
    • Amazon Macie

ネットワークセキュリティアーキテクチャ

現在の環境について課題を理解し、理想とはほど遠いことについて気付きましょう。現状と理想のギャップを埋めるため、詳細なロードマップが必要です。2日目はゼロトラストアーキテクチャ(ZTA)を紹介し、ネットワークセキュリティアーキテクチャとSOCの防衛を考えるにあたり、構成するインフラのコンポーネントを詳細に解説していきます。我々は長い間、境界を守るファイアウォールと随所に導入したアンチウィルスでセキュリティ対策は充分だ、と考えてきました。しかし今日では多数のセキュリティコンポーネントがあり、現代のセキュリティアーキテクチャはそれらを組み合わせて構築されています。

また、次世代ファイアウォール、Web アプリケーション ファイアウォール、マルウェアデトネーションデバイス、SIM、DLP、ハニーポットといったまだ企業に取り入れられることが少ないテクノロジーに関しても解説していきます。そして、3/4レイヤーのファイアウォール、ルーター、スイッチ、NIDSといった古くからあるネットワーク機器をどう再利用していくかも合わせて解説します。このコースで数多くの機器やセキュリティ対策を紹介し解説しますが、何もこれらを次年度の予算に加えるべきといったことではなく、あなたの企業における現状のサイバーセキュリティアーキテクチャの機能を最大化するためには、どの新しいテクノロジーがもっとも適切で費用対効果(ROI)があるかを判断できるようにするためです。

演習

  • ModSecurity
  • Decrypting TLS with Wireshark
  • プロトコルインスペクションによる敵対者の検出
  • リーク検出のためのハニートークン
  • NetWars(2日目):短期集中サイバーチャレンジ

トピック

  • SOC/セキュリティ・アーキテクチャー - 基幹インフラ機器
    • 従来のファイアウォールと次世代ファイアウォール、およびNIPS
    • ウェブアプリケーションファイアウォール
    • マルウェア爆発装置
    • HTTPプロキシ、Webコンテンツフィルタリング、SSL/TLS復号化
    • SIEM、NIDS、パケットキャプチャ、DLP
    • ハニーポット/ハニーネット
    • ネットワーク・インフラストラクチャ - ルーター、スイッチ、DHCP、DNS
    • スレットインテリジェンス
  • セグメント化された内部ネットワーク
    • ルーター
    • 内部SIファイアウォール
    • VLAN
    • ピボットの検出
    • DNSアーキテクチャ
    • DNS over HTTPS (DoH) と DNS over TLS (DoT) を含む暗号化されたDNS
  • 防御可能なネットワークセキュリティアーキテクチャーの原則の適用
  • 内部セグメンテーション
  • 脅威ベクトル分析
  • データ流出分析
  • 検知優位設計
  • ゼロトラストモデル(Kindervag)
  • 侵入キルチェーン
  • 可視化分析
  • データの可視化
  • 横方向の動き分析
  • データ出入口マッピング

ネットワークセキュリティ監視(Network Security Monitoring: NSM)

多くの組織にとって、SOCとセキュリティアーキテクチャのデザインに関してパラダイムシフトが起きています。可視化と探知機能の強化です。しかし、デザインは始まりに過ぎません。もっとも重要なことは、侵入を検知することです。3日間かけて可視化と探知機能の強化をデザインに盛り込む方法について、議論してきました。4日目は、侵害により残される痕跡や変更を持続的に監視して、いかに見つけていくかを見ていきます。

それにはまず、監視のアプローチと目的を理解し、適切な分析手法を選択できるようにならなければなりません。ネットワークセキュリティ監視(NSM)、持続的な診断と緩和(CDM)、持続的なセキュリティ監視(CSM)といった用語(概念)は、誤解されがちですので、これらを正しく理解し組織のベストプラクティスとして導入できるよう解説していきます。持続的監視(continuous monitoring)の必要性は、クリティカルセキュリティコントロール(CSC)で強く推奨されている事項でもあります。

次に、堅牢なモデルであるネットワークセキュリティ監視(NSM)を採用して、持続的な監視を行う方法を解説していきます。NSMは、データを分析して侵入や不正行為の可能性を早期検出と対処を実現します。

演習

  • ZeekとのPcap Carving
  • セキュリティオニオンサービスサイドアタック解析
  • Wireshark Merlinの解析
  • TLS証明書とUserAgentの異常検出
  • NetWars(3日目):短期集中サイバーチャレンジ

トピック

  • NSMの進化
  • NSMのツールボックス
  • NIDSの設計
  • 分析方法論
  • データソースの理解
    • フルパケットキャプチャ
    • 抽出されたデータ
    • 文字列データ
    • フローデータ
    • トランザクションデータ
    • 統計データ
    • アラートデータ
    • タグ付きデータ
    • 関連データ
  • クラウドNSM
  • NSMの実践的課題
  • コーナーストーンNSM
    • サービスサイドとクライアントサイドのエクスプロイト
    • 高エントロピー源となる文字列の特定
    • EXE 転送の追跡
    • コマンド&コントロール(C2)トラフィックの特定
    • ユーザーエージェントの追跡
    • HTTPS経由のC2
    • 暗号化証明書の追跡
    • JA3によるマルウェアの検出
  • Cobalt Strikeの検出
    • Cobalt Strikeの犯罪利用
    • マレブルC2
    • Cobalt Strikes x.509 証明書

エンドポイントセキュリティアーキテクチャ

近年の攻撃の顕著な特徴として、クライアントサイドのエクスプロイトに重点が置かれていることがあります。一旦クライアントに侵入されてしまうと、そこから社内ネットワークにあるパッチがあたっていない無数のメールサーバー、ウェブサーバー、DNSサーバーに横展開されてしまいます。このような背景から、クライアント侵害のリスクを低減することは、必須事項といえるでしょう。4日目は、エンドポイントシステムに焦点をあてて解説していきます。攻撃に対して柔軟性を持ち、侵害調査を行う上で必要な機能を強化するさまざまな対策を紹介していきます。

演習

  • Sysmon
  • Autoruns
  • AppLockerによるアプリケーションコントロール
  • Merlin Sysmonの解析
  • NetWars(4日目):短期集中サイバーチャレンジ

トピック

  • エンドポイントセキュリティアーキテクチャ
    • エンドポイントプロテクションプラットフォーム
    • エンドポイント検知対応
    • 認証保護/検出
    • 設定管理/監視
  • エンドポイントプロテクション
    • TPM デバイスヘルス認証
    • ホストベースファイアウォール、ホストベースIDS/IPS
    • アプリケーション制御、アプリケーション仮想化
    • 仮想化ベースのセキュリティ
    • Microsoft Defender。アプリケーションガード
    • Windows Defender クレデンシャルガード
    • エンドポイント向けDefender アタックサーフェスの削減
    • EMETとDefender Exploit Guard
  • クラウド構成管理
  • エンドポイント検出 - Sysmon
    • FileDelete、ProcessTampering、その他最近追加された機能
    • IMPHASH
    • DeepBlueHash
  • 認証の保護と検出
    • 特権アカウントの監視
    • Windows Hello
    • ダイナミックロック
    • PINのみによる認証
    • パスワードレス
    • Azure Active Directory + MFA
    • Azureの認証方式
    • AAD条件付きアクセス
    • ハッシュ/チケット/トークン攻撃
  • 構成管理/監視
    • クラウド センター・フォー・インターネット・セキュリティ(CIS) Hardened Images
    • コンテナ コンテナ用CIS Hardened Images
    • ベースライン・モニタリング
    • 望ましい状態構成 (DSC)
    • Azureオートメーションの状態設定

自動化と持続的なセキュリティ監視(CSM)

ネットワークセキュリティ監視(NSM)を始めることで、侵入や不正行為が起きていることを検知することができるようになりました。しかし、我々のシステム、ネットワーク、アプリケーションに対して、いつ侵害が増加傾向にあるのかを知りたくなるはずです。これを実現する戦略として、持続的なセキュリティ監視(CSM)、持続的な診断と緩和(CDM)があります。どんな対策が必要かを判断するために、半期または年1回に脆弱性テストを行って診断結果を待つのに比べて、持続的な監視(CM)は、プロアクティブかつ継続的に診断を繰り返し、現在のセキュリティ状態から対処すべき脆弱性について即座に把握することができます。

しかし、それには大量なデータを解析する必要があります。実現するためには、スクリプティングと自動化が不可欠です。当然、ベンダー製品や既存ツールにはこの課題を解決するよう作られているものがありますが、手動でカバーしなければならない範囲や機能や監視項目があり、自動化には不完全です。5日目は、シンプルなツールとスクリプトを使って持続的な監視を行う方法を解説していきます。

スクリプトによる自動化の方法を知ったとしても、何のデータを継続的に監視して分析する必要があるか知らなければ意味がありません。そのため、クリティカルセキュリティコントロール(CSC)について再び振り返り、優先的に企業環境で持続的に監視する価値があるものについて議論していきます。

演習

  • インベントリ
  • Windowsイベントログ
  • DNS over HTTPS(DoH)
  • Kansa- 永続性とピボット
  • NetWars(5日目):短期集中サイバーチャレンジ

トピック

  • 概要
    • 継続的セキュリティ監視(CSM)と継続的診断・軽減(CDM)と情報セキュリティ継続的監視(ISCM)の比較
    • サイバースコープとSCAP
  • 業界のベストプラクティス
    • 継続的モニタリングと20の重要なセキュリティコントロール
    • オーストラリア信号総局(ASD)の標的型サイバー侵入を軽減する戦略
  • 勝利のCSMテクニック
    • ロングテール分析
    • オーストラリア通信理事会(ASD)のサイバーセキュリティインシデント軽減のための戦略
    • ASDエッセンシャルエイト
  • 状況認識を維持する
  • ホスト、ポート、サービスの発見
  • 脆弱性スキャン
  • パッチの監視
  • アプリケーションの監視
  • サービスログの監視
    • DNSログによるマルウェアの検出
    • Iodineとdnscat2によるDNSトンネリングの検出
    • Domain_statsと登録データアクセスプロトコル(RDAP)
  • デバイスやアプライアンスの変更の監視
  • プロキシとファイアウォールのデータを活用する
  • Windowsイベントログ収集の一元化の設定
  • 重要なWindowsイベントの監視
    • ハンズオン Windowsイベントログを利用したマルウェアの検出
  • スクリプトと自動化
    • 自動化の重要性
    • PowerShell
    • Deep Blue CLI
  • セキュリティ・オペレーション・センター (SOC)
    • SOCの目的
    • SOCの主な役割
    • 防御可能なセキュリティ・アーキテクチャとの関係

キャップストーン:デザイン、検知、防御

コースのクライマックスは、チーム単位での設計、探知、旗の防衛競技である。NetWarsを活用した6日目は、1週間を通して学んだ原則を実践する1日です。

それぞれのチームは、1週間で学んだ現代のサイバー防衛技術の習得を確実にするために、複数のレベルで構成されたミッションを進めていきます。セキュリティアーキテクチャ、ネットワークセキュリティの監視、エンドポイントのセキュリティ、継続的な監視からなるこの挑戦的なエクササイズは、楽しく実践的なチームベースの課題を通じ、重要な原則を身のあるものとします。

トピック

  • セキュリティアーキテクチャー
  • 継続的なセキュリティ監視
  • NSMとCSMの応用
  • Security Onion、Wireshark、CyberChefによる悪意あるトラフィックの解析
  • 悪意のあるWindowsイベントログの分析
  • パケット分析
  • ログ分析
  • C2検知

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。