ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 599

Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses

Purple Team

English
日程

2025年10月20日(月)~2025年10月25日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GDAT
講師
Bryce Galbraith|ブライス ガルブレイス
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2025年9月5日(金)
通常価格:2025年10月10日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand  149,850円(税込み 164,835円)
  • Skills Quest by NetWars 価格:74,250円(税込み 81,675円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要! これらの手順に従って構成された独自のシステムをお持ちください。

このコースを完全に受講するには、適切に構成されたシステムが必要です。これらの指示をよく読んで従わない場合、コースのハンズオン演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムを持参してください。

授業前にシステムをバックアップしてください 。できれば、機密データや重要なデータが保存されていないシステムを使用してください。SANSはお客様のシステムやデータについて一切責任を負いません。

必須のSEC599システムハードウェア要件

  • CPU: 64ビット Intel i5/i7(第8世代以降)、またはAMD同等のプロセッサ。このクラスでは、x64ビット、0GHz以上のプロセッサが必須です。
  • 重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは一切使用できません。
  • BIOS設定は、「Intel-VTx」や「AMD-V」拡張機能などの仮想化技術を有効にするために設定する必要があります。BIOSがパスワード保護されている場合は、変更が必要な場合に備えて、必ずBIOSにアクセスできることを確認してください。
  • 8GB以上のRAMが必要です。
  • 75GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-Aポートが少なくとも1つ必要です。新しいノートパソコンでは、Type-CからType-Aへの変換アダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を禁止しているため、授業前にUSBドライブを使ってシステムをテストしてください。

必須のSEC599ホスト構成およびソフトウェア要件

  • ホスト オペレーティング システムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • クラスの前にホスト オペレーティング システムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、その多様なバリエーションのため、教室ではサポートされていません。ホストとしてLinuxを使用する場合は、コース教材やVMで動作するように設定するのは、ご自身の責任となります。
  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームから許可を得られない場合は、許可を取り消してください。)コース期間中、会社がこのアクセスを許可しない場合は、別のラップトップをご持参ください。
  • ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効化されているか、完全に削除されているか、または管理者権限を持っていることを確認してください。多くのコースでは、オペレーティングシステムへの完全な管理者権限が必要となるため、これらの製品を使用するとラボを完了できない場合があります。
  • 送信トラフィックをフィルタリングすると、コースのラボを完了できなくなる可能性があります。ファイアウォールを無効にするか、管理者権限を持って無効にする必要があります。
  • ホストにMicrosoft Office(任意のバージョン)またはOpenOfficeがインストールされていること。Office試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。    
  • 授業開始前に、VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+Windows 11 ホストの場合)、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+macOS ホストの場合)をダウンロードしてインストールしてください。VMwareWorkstation Pro または VMware Fusion Pro のライセンスをお持ちでない場合は、VMware から 30 日間の無償トライアル版をダウンロードできます。VMware Web サイトでトライアル版に登録すると、VMware から期間限定のシリアル番号が送信されます。また、VMware Workstation Player VMware Workstation Pro よりも機能が少ないことにご注意ください。Windows ホストシステムをご利用の場合は、よりスムーズな受講体験のために Workstation Pro をお勧めします。
  • Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最適なエクスペリエンスを実現するには、VMwareが仮想マシンを起動できることを確認してください。Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属するセットアップドキュメントに記載されています。
  • 7-ZipWindowsホストの場合)またはKekamacOSホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。    

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルはサイズが大きい場合があります。多くは4050GBですが、中には100GBを超えるものもあります。ダウンロードが完了するまで十分な時間を確保してください。インターネット接続と速度は大きく異なり、様々な要因に左右されます。そのため、教材のダウンロードにかかる時間を概算することはできません。リンクを受け取ったらすぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になりますので、前夜までファイルのダウンロードを待たないでください。 

コース教材には「セットアップ手順」ドキュメントが含まれており、ライブクラスイベントへの参加やオンラインクラスの開始前に実行する必要がある重要な手順が詳細に説明されています。この手順を完了するには30分以上かかる場合があります。

クラスでは、実験の指示に電子ワークブックを使用しています。この新しい環境では、コースの実験に取り組んでいる間、授業資料を常に見ることができるように、2台目のモニターやタブレット端末が役立ちます。

SEC599 コース概要

あなたは、私たちの仮想組織「SYNCTECHLABS」がサイバーセキュリティ能力を構築するのを助けるために雇われたばかりだ。初日、上司があなたに言った: 「私たちは最近のサイバーセキュリティのトレンドレポートを見て、私たちは筋書きを失ったように感じています。高度な持続的脅威、ランサムウェア、サービス拒否...。どこから手をつければいいのかわからないんです。

サイバー脅威は増加の一途をたどっています。ランサムウェアの手口は中小企業から大企業まで同様に影響を及ぼしており、国家に支援された敵対者は、最も貴重な王冠の宝石へのアクセスを取得しようとしています。SEC599 SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defensesは、今日の脅威に打ち勝つために必要な知識とノウハウを提供します。予防のみの戦略では不十分であることを認識し、敵対者の阻止、検知、対応を目的としたセキュリティコントロールを紹介します。

コース執筆者のスティーブン・シムズとエリック・ヴァン・バッゲンハウト(ともにGIACセキュリティエキスパートの資格を持つ)は、侵入テストとインシデント対応を通じてサイバー攻撃がどのように機能するかについて深い理解を築いた実践的な実務家です。侵入テストコースを教えているとき、彼らはしばしば質問を受けました: 「この種の攻撃を防ぐには、あるいは検知するにはどうすればいいのでしょうか?これだ!SEC599では、攻撃を防ぐ方法を実例を挙げて説明します。このコースでは、20以上のラボと終日のDefend-the-Flag演習が行われ、受講生は仮想組織をその環境に対するさまざまな攻撃の波から守ることを試みます。

6つのパートからなるこのコースは、徹底的なケーススタディを通して最近の攻撃を分析することから始まります。どのようなタイプの攻撃が発生しているかを説明し、サイバー・キル・チェーンやMITRE ATT&CKフレームワークなど、敵の行動に関する公式な記述を紹介します。また、攻撃の仕組みを理解するために、セクション1の演習では、当社の仮想組織「SYNCTECHLABS」を危険にさらしていただきます。

セクション2、3、4、5では、サイバー攻撃を防止、検知、対応するために、どのように効果的なセキュリティ管理を実施するかについて説明します。取り上げるトピックは以下の通りです:

  • MITRE ATT&CK を組織内の「共通言語」として活用する。
  • ペイロードを分析するための独自のCuckooサンドボックスソリューションの構築
  • スクリプトの実行を改善するための効果的なグループポリシーの開発(PowerShell、Windows Script Host、VBA、HTAなどを含む)
  • スクリプトコントロールの主要なバイパス戦略を明らかにする(アンマネージドPowershell、AMSIバイパスなど)
  • ExploitGuardとアプリケーションホワイトリストを使用した0-dayエクスプロイトの阻止
  • アプリケーション・ホワイトリストにおける主要なバイパス戦略のハイライト(AppLockerにフォーカス)
  • マルウェアの永続性の検出と防止
  • セントラルログ分析ソリューションとしてのElasticスタックの活用
  • Sysmon、Windowsイベントモニタリング、グループポリシーによる横の動きの検出と防止
  • ネットワークトラフィック分析によるコマンド&コントロールのブロックと検出
  • 脅威インテリジェンスの活用によるセキュリティ態勢の改善

SEC599は盛況のうちに幕を閉じます。コース最終セクションの「Defend-the-Flag」では、ネットワークの安全性を維持するために、高度な敵対者と対戦します。あなたは、さまざまな攻撃の波から環境を守ることができるでしょうか?敵の勢いは止まりません。

本講座受講にあたっての前提

  • LinuxとWindows環境でCLI操作経験がある方
  • Windowsアクティブディレクトリについての基礎知識がある方
  • 基礎的なサイバーセキュリティのトピックスに関して理解している
  • TCP/IPおよびネットワークを理解している方

受講対象者

  • セキュリティアーキテクト
  • セキュリティエンジニア
  • レッドチームや侵入テストの担当者で、ブルーチームの技術がどのように攻撃を阻止できるかをよりよく理解したい方
  • どのようなセキュリティ対策を優先すべきかを理解したい技術的なセキュリティ管理者
  • セキュリティオペレーションセンターのアナリストやエンジニアで、敵のテクニックを検出する方法について理解を深めたい人
  • 永続的なサイバー敵対者がどのように活動し、IT環境をどのように改善すれば、インシデントの予防、検知、対応をより適切に行えるかを理解したい個人

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Introduction and Reconnaissance(導入と調査・偵察)

6部構成からなるこの旅の1日目は、綿密なケーススタディを通じた最近の攻撃の分析から始まります。実際の状況で何が起こっているのかを説明し、CyberKillChainとMITRE ATT&CKのフレームワークを、攻撃者の戦術やテクニックを説明するための構造化されたアプローチとして紹介します。また、パープル・チーミングとは何か、それに関連する代表的なツール、組織内での最適な編成方法についても説明します。また、攻撃がどのように機能するかを理解するために、受講生は1日目の演習で、私たちの仮想組織「SYNCTECHLABS」への侵入を試みます。

演習

  • ワンクリックで全て解決...
  • SCTとSTIGを使ったドメインのハードニング
  • Kibana、ATT&CKナビゲーター、FlightSim
  • SpiderFootを使った自動的な偵察

トピック

  • コースの全体像とラボ環境の設定
    • コースの目的とラボ環境
    • そこでは何が起きているのか?
    • SYNCTECHLABSの解説
    • 演習:ワンクリックですべて解決...
  • 攻撃者エミュレーションとパープルチーム
    • 拡張されたKillChainの解説
    • パープルチームとは何か?
    • MITRE ATT&CKフレームワークと「パープルツール」
    • 防御と検知のためのキーコントロール
    • 演習:SCTとSTIGを使ったドメインのハードニング
    • 検出スタックの構築
    • 演習:Kibana、ATT&CKナビゲーター、FlightSim
  • 偵察・調査
    • 偵察・調査 -ターゲットを知るために
    • 演習:SpiderFootを使った自動的な偵察

Payload Delivery and Execution(ペイロードのデリバリーと実行)

2日目では、敵が組織内でペイロードの配信と実行をどのように試みるかを取り上げます。まず、攻撃者のテクニック(例:悪意のある実行ファイルやスクリプトの作成)を取り上げ、次に、ペイロードの配信(例:フィッシングメール)と実行(例:添付ファイルのダブルクリック)の両方をどのように阻止するかに焦点を当てます。また、共通のペイロード記述言語としてYARA、ベンダに依存しないユースケース記述言語としてSIGMAについて解説します。

演習

  • Windows における NTLMv2 スニッフィングおよびリレー攻撃の阻止
  • CuckooとYARAを使用したサンドボックスの構築
  • AppLockerの設定
  • 組織内でのスクリプト実行の制御
  • スクリプトブロックロギング、Sysmon、SIGMAを使った検知
  • ProcFilter を用いたペイロード実行の防御

トピック

  • 共通のデリバリーメカニズム
  • ペイロードの配信阻止
    • リムーバブルメディアとネットワーク(NAC、MDMなど)の制御
    • 演習:Windows における NTLMv2 スニッフィングおよびリレー攻撃の阻止
    • メールコントロール、Webプロキシ、マルウェアのサンドボックス化
    • YARA - 一般的なペイロード記述言語
    • 演習:CuckooとYARAを使ったサンドボックスの構築
  • ペイロードの実行防御
    • 初期実行 - アプリケーションのホワイトリスト化
    • 演習:AppLockerの設定
    • 初期実行 - Visual Basic、JS、HTA、PowerShell
    • 演習:組織内でのスクリプト実行の制御
    • 初期実行 - どのように検出するか?
    • 演習:スクリプトブロックログ、Sysmon、SIGMAを使った検知
    • YARAルールの運用 - ProcFilterの導入
    • 演習:ProcFilter を用いたペイロード実行の防御

Exploitation, Persistence, and Command and Control(エクスプロイト、持続性、Command&Control(C&C))

3日目では、まず、どのようにしてエクスプロイトを防御したり検出したりすることができるかを解説します。セキュリティがソフトウェア開発ライフサイクルの不可欠な一部であるべきであること、そして、脆弱性のあるソフトウェアの作成を防ぐためにどのように役立つかを示します。また、パッチ管理が全体像の中でどのように適合するかについても解説します。
次に、コンパイル(ControlFlowGuard など)とランタイム(ExploitGuard)の両方でのエクスプロイト緩和テクニックに焦点を当てます。異なるエクスプロイト緩和テクニックが何をカバーしているのか(しようとしているのか)、また、それらがどれほど効果的なのかについて、詳細な解説を行います。次に、典型的な永続化戦略と、Autoruns と OSQuery を使用してどのように検出できるかについて説明します。最後に、Command&Control(C&C)チャンネルがどのように設定されているか、そして検知と防御のために防御者がどのような制御が可能かを説明します。

演習

  • コンパイル時間の制御を用いたエクスプロイトの緩和
  • ExploitGuardを用いたエクスプロイトの緩和
  • AutorunsとOSQueryを使用した持続性のキャッチ
  • Suricata、JA3、RITAを用いたCommand&Control(C&C)チャンネルの検知

トピック

  • エクスプロイトからのアプリケーションの防御
    • ソフトウエア開発ライフサイクル(SDL)と脅威モデリング
    • パッチマネジメント
    • エクスプロイト緩和テクニック
    • 演習:コンパイル時間の制御を用いたエクスプロイトの緩和
    • エクスプロイト緩和テクニック - ExploitGuard,EMET など
    • 演習:ExploitGuardを用いたエクスプロイトの緩和 
  • インストールの回避
    • 典型的な永続性戦略
    • 攻撃者はどのようにして粘り強さを発揮するのか?
    • 演習:AutorunsとOSQueryを使用した持続性のキャッチ
  • Command&Control(C&C)の包囲
    • Command&Control(C&C)のチャンネルの検知
    • 演習:Suricata、JA3、RITAを用いたCommand&Control(C&C)チャンネルの検知

Lateral Movement(ラテラルムーブメント(横方向への移動))

4日目は、敵がどのようにして環境全体を横方向に移動するかに焦点を当てます。主なポイントは、Active Directory (AD) の構造とプロトコル (ローカルクレデンシャルの盗用、NTLMv2、Kerberosm など) にあります。Windows 特権のエスカレーション、UAC バイパス、(オーバー) Pass-the-Hash、Kerberoasting、シルバーチケットなどを含む、一般的な攻撃戦略を解説します。また、BloodHound を使用して、AD 環境を介した攻撃パスを開発する方法についても解説します。最後に、環境内での横方向の動きをどのように識別できるか、サイバー詐欺を利用して侵入者を現行犯逮捕する方法について説明します!

演習

  • LAPSの実装
  • ローカルWindowsの特権エスカレーションテクニック
  • クレデンシャルの漏洩に対抗するWindowsのハードニング
  • BloodHoundを使用した攻撃パスのマッピング
  • ケルベロス攻略戦略
  • ADにおけるラテラルムーブメント(横方向への移動)の検知

トピック

  • 管理権限でのアクセスの防御
    • Active Directoryのセキュリティ概念
    • 最小特権の原則とUAC
    • 演習:LAPSの実装
    • Windowsにおける特権エスカレーション技術
    • 演習:ローカルWindowsの特権エスカレーションテクニック
  • ADに対する主要な攻撃戦略
    • ローカル管理者権限を悪用して、より多くの資格情報を盗む
    • 演習:クレデンシャルの漏洩に対抗するWindowsのハードニング
    • BloodHound- ADの攻撃パスをマッピングする
    • 演習:BloodHoundを用いた攻撃パスのマッピング
    • ケルベロスアタック:Kerberoasting、シルバーチケット、Over-PtH
    • 演習:ケルベロス攻撃戦略
  • ラテラルムーブメント(横方向への移動)を検知するために
    • ADのラテラルムーブメントを検知するための主要なログ
    • 詐欺 - 敵を騙す
    • 演習:ADにおけるラテラルムーブメント(横方向への移動)の検知

Action on Objectives, Threat Hunting, and Incident Response(目標達成に向けたアクション、脅威ハンティング、インシデントレスポンス)

5日目は、一連の攻撃の最終段階における敵の動きを阻止する以下の点に注力します。

  • 攻撃者による「ドメイン支配」の状態を得る方法。これには、Golden Tickets、Skeleton Keys、DCSyncやDCShadowなどのディレクトリ・レプリケーション攻撃の使用が含まれます。
  • データ持ち出しの検知と阻止の方法
  • 脅威インテリジェンスを用いてCyberkillChainの防御側を支援する方法
  • 防御側における効果的なインシデントレスポンス

演習

  • ドメイン支配
  • データ持ち出しの検知
  • MISPとLokiによる脅威インテリジェンスの活用
  • OSQueryを用いた環境の調査
  • VolatilityとYarGenを使ったマルウェアの検出

トピック

  • ドメイン支配
    • ADの支配 -基礎戦略
    • Golden Thicet,Skelton Key.DCSync,DCShadow
    • domain dominanceの検出
    • 演習:ドメイン支配
  • データ持ち出し
    • 典型的な持ち出し戦略
    • 演習:データ持ち出しの検知
  • 脅威インテリジェンスの活用
    • 脅威インテリジェンスの定義
    • 演習:MISPとLokiによる脅威インテリジェンスの活用
  • 脅威ハンティングとインシデントレスポンス
    • 能動的な脅威ハンティングの戦略
    • 演習:OSQueryを用いた環境の調査
    • インシデントレスポンスのプロセス
    • 演習:VolatilityとYarGenを使ったマルウェアの検出

Advanced Persistent Threat Defender Capstone
(APT攻撃の防御のまとめ)

コースのクライマックスは、チーム対抗の「Defend-the-Flag」競技会です。第6章は、コースで学んだ内容を実践的に学ぶ章です。あなたのチームは複数のレベルとミッションを経て1週間を通じて学んだ最新のサイバーセキュリティコントロールを確実に習得します。このチャレンジングな演習では、楽しく、実践的で、チームベースのチャレンジで重要な原則を確認していきます。

なお、OnDemandの受講者は、この演習を個人単位で楽しむことができます。いつものように、SANSSMEOnDemandの受講者一人ひとりの体験をサポートします。

トピック

  • セキュリティコントロールの適用
  • 偵察
  • 武装
  • デリバリー
  • エクスプロイト
  • 設置
  • Command & Control(C&C)
  • 目的達成に向けた行動

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ