FORENSICS 578

重要! この説明書に従って設定されたご自身のシステムをお持ちください。

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、それに従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムを持参してください。

授業の前にシステムのバックアップを取ってください。さらに良いのは、機密データや重要なデータがないシステムを使用することです。SANSは、お客様のシステムまたはデータについて責任を負いません。

FOR578 システムハードウェアの必須要件

• CPU:64ビットIntel i5 / i7(第8世代以降)、またはAMDの同等品。このクラスには、x64 ビット、0+ GHz 以降のプロセッサが必須です。
• 重要:Appleシリコンデバイスは必要な仮想化を実行できないため、このコースには使用できません。
• 「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にするには、BIOS設定を設定する必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、BIOSにアクセスできることを絶対に確認してください。
• 16GB以上のRAMが必要です。
• 100GB以上の空きストレージスペースが必要です。
• 少なくとも 1 つの使用可能な USB 3.0 Type-A ポート。新しいラップトップには、Type-C から Type-A へのアダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を防止するため、授業の前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク(802.11標準)が必要です。教室には有線インターネットアクセスはありません。

FOR578 ホスト構成とソフトウェア要件の必須要件

• ホストオペレーティングシステムは、最新バージョンのWindows 10、Windows 11、またはmacOS 10.15.x以降である必要があります。
• クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
• Linuxホストは、その多数のバリエーションのために教室ではサポートされていません。ホストとしてLinuxを使用することを選択した場合、コース教材やVMと連携するようにLinuxを構成する責任は、お客様自身にあります。
• ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームにそう言わせないでください。あなたの会社がコースの期間中このアクセスを許可しない場合は、別のラップトップを持参する手配をする必要があります。
• ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、またはそのための管理者権限があることを確認する必要があります。当社のコースの多くは、オペレーティングシステムへの完全な管理アクセスを必要とし、これらの製品によりラボの達成が妨げられる可能性があります。
• エグレストラフィックのフィルタリングにより、コース内の実習を完了できなくなる可能性があります。ファイアウォールを無効にするか、ファイアウォールを無効にするための管理者権限が必要です。
• ホストにインストールされているMicrosoft Office (任意のバージョン)。Office試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
• 授業開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+ (Windows 10 ホスト用)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+ (Windows 11 ホスト用)、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ (macOS ホスト用) をダウンロードしてインストールします。VMware Workstation Pro または VMware Fusion Pro のライセンス コピーをお持ちでない場合は、VMware から 30 日間の無料評価版をダウンロードできます。VMwareは、Webサイトで試用版に登録すると、期間限定のシリアル番号を送信します。また、VMware Workstation Player は VMware Workstation Pro よりも機能が少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな学生エクスペリエンスのためにWorkstationProをお勧めします。
• Windows ホストでは、VMware 製品が Hyper-V ハイパーバイザーと共存できない場合があります。最適なエクスペリエンスを得るには、VMware が仮想マシンを起動できることを確認してください。これには、Hyper-V を無効にする必要がある場合があります。Hyper-V、Device Guard、Credential Guard を無効にする手順は、コース資料に付属するセットアップ ドキュメントに記載されています。
• 7-Zip(Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディア ファイルは大きくなる可能性があります。多くは40〜50GBの範囲にあり、一部は100GBを超えています。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に依存します。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業の初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、授業の前夜まで待たないでください。

コース資料には、ライブクラスイベントに参加したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳しく説明した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用しています。この新しい環境では、2台目のモニターやタブレットデバイスは、コースのラボで作業しているときにクラスの資料を表示しておくのに役立ちます。

攻撃者から教わることは膨大です！

すべてのセキュリティ専門家に対して、FOR578：サイバースレットインテリジェンスコースへの参加を推奨します。このコースでは、今までに学習してきた他の技術トレーニングとは異なり、既存のスキルを補強しながらセキュリティスキルセットの強固な基盤を確立できる構造化分析に重点を置いています。

本コースでは、以下のようにセキュリティのあらゆる分野を通じたインテリジェンス能力の確立を支援します。

• 複雑なシナリオを理解したうえで、統合、活用するための分析スキル
• スレットモデリングなどを通じたインテリジェンス要件の特定、作成
• スレットインテリジェンスの戦術、運用、戦略レベルにおけるスキルの理解
• スレットインテリジェンスの生成と、集中型および標的型の脅威の検出、および未然防止
• 敵対者のデータを収集するための様々な情報源と、それらの利活用方法
• 悪意あるインテリジェンスコストを最小限に抑えるための、外部情報検証
• YARA や STIX/TAXII などの形式によるで Indicators of Compromise(IOC)を作成
• 敵の戦術、技術、手順を理解し、キルチェーン、ダイヤモンドモデル、MITRE ATT&CKなどのフレームワークの活用
• セキュリティのために構造化された分析手法の確立

セキュリティ専門家は自らをアナリストと呼ぶのが一般的です。しかし、単に技術トレーニングに参加するのではなく、構造化分析に関するトレーニングの受講や体得した人はどれ程いるでしょうか？どちらも重要ですが、アナリストは分析に必要な考え方の訓練に焦点を当てることはほとんどありません。このコースでは、既存の知識を補完し、セキュリティチームの新しいベストプラクティスを確立するための新しい考え方、方法論、テクニックを学びます。適切な分析スキルは、ディフェンダーが日常的に曝される複雑な状況での手掛かりとなります。

敵対者の意図や機会、攻撃能力に関する分析は、一般的にサイバースレットインテリジェンスとして知られています。インテリジェンスはデータフィードではなく、ツールからもたらされるものでもありません。インテリジェンスは、重要な知識のギャップやお互いに譲歩が難しい点を明らかにするだけではなく、組織の要件に答える実行可能な情報であるべきです。敵対者に関する知識の収集や分類、あるいは抽出の結果は、敵対者に優位性をあなたの組織に与える、仮に攻撃が行なわれたとしても、それらの経験から学び進化してゆくものです。

したがって、サイバースレットインテリジェンスは、洗練された脅威に対処すべくレスポンスや識別の能力を確立、あるいは高めようとする組織にとって、これ以上ない支援ができるでしょう。マルウェアは敵対者のツールですが、サイバースレットインテリジェンスは、適切な訓練と権限を与えられた職員によって整理された、本当の脅威である人間に対処することに焦点が当てられています。

敵対者の情報は、すべてのセキュリティチームにとって重要です。レッドチームは、敵対者の手法を理解して、その技術を再現してみる必要があります。セキュリティオペレーションセンターでは、侵入に関する対処の優先順位付けの方法を知り、すぐに注意が必要なものに迅速に対処する必要があるでしょう。インシデント対応チームは、対象となる検知情報について迅速に内容を把握し対応する方法について実用的な情報が必要であり、脆弱性を管理するグループは、優先順位付けのために最も重要だと判断できる脆弱性の情報と、それらによってもたらされるリスクを理解する必要があります。また、スレットハンティングチームは、新しい脅威を発見するために敵対者の思考や挙動について理解をしなければなりません。

言い換えれば、サイバースレットインテリジェンスは、敵対者に対応するために必要な全てのセキュリティプラクティスを明らかにすることなのです。 FOR578：サイバースレットインテリジェンスは、進化する脅威の状況をこれまで以上に深く理解し、その脅威に正確かつ効果的に対処するために必要な戦術的な運用、および戦略的に取り組まれたサイバースレットインテリジェンスのスキルを通じて、セキュリティチームや組織を支援できるようなノウハウを習得することができます。

• セキュリティ実務担当者の方、必見です。このコースは、レッドチームからインシデント対応者まで、あらゆるセキュリティスキルセットに完璧にマッチしています。このコースは、分析スキルに重点を置いています

• 複雑なセキュリティインシデントや侵入に対応するインシデントレスポンスチームのメンバーで、企業内の侵害されたシステムを検出、調査、修復、回復する方法を知っておく必要がある方

• 脅威をより完全に理解し、そこからどのように学ぶことで、より効果的に脅威を追い詰め、その背後にあるスパイ活動に対抗できるようになろうとしている脅威ハンター
• ネットワーク環境における攻撃者を特定しようとするハンティング作業をサポートするセキュリティ・オペレーション・センターの要員と情報セキュリティの熟練者

• デジタルフォレンジックアナリストとマルウェアアナリストで、ファイルシステムのフォレンジック、技術的に高度な敵の調査、インシデントレスポンス戦術、高度な侵入調査についての理解を深めたい方

• 高度な侵入調査とインシデントレスポンスを習得し、従来のホストベースのデジタル・フォレンジックを超えて調査スキルを拡大したい連邦捜査官および警察官（法執行官）
• 技術的なスキルを活かして、インテリジェンスチームを構築したり、組織内でインテリジェンスを活用したいと考えている技術管理者
• 分析スキルを次のレベルに引き上げたいと考えているSANSトレーニングの受講経験者