ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 578

Cyber Threat Intelligence

日程

2026年10月19日(月)~2026年10月24日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
LiveOnline(オンライン受講)
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GCTI
講師
Justin Parker|ジャスティン パーカー
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料
早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,334,500円(税込み 1,467,950円)
申込締切日
早期割引価格:2026年9月4日(金)
通常価格:2026年10月8日(木) 13:00
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand 価格:149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR578 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

システムハードウェア要件

  • CPU: 64 ビット Intel i5/i7 ( 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要:Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。
  • 100GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。IT チームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 送信トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
  • ホストにMicrosoft Office(どのバージョンでも可)がインストールされている必要があります。演習によってはMicrosoft Excelが必要となるためです。なお、Office 試用版ソフトウェアはオンラインでダウンロードできます(30日間無料)。
  • 講座開始前に、VMware Workstation Pro 16.2.X以上 または VMware Player 16.2.X以上 (Windows 10 ホストの場合)、VMware Workstation Pro 17.0.0以上 または VMware Player 17.0.0以上 (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2以上 または VMware Fusion Player 11.5以上 (macOS ホストの場合) をダウンロードしてインストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない場合は、VMwareから30日間の無料トライアル コピーをダウンロードできます。VMwareWebサイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation PlayerVMware Workstation Proよりも機能が少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな受講者エクスペリエンスのためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きくなる可能性があります。多くは40〜50GBの範囲ですが、100GBを超えるものもあります。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR578 コース概要

サイバー脅威インテリジェンスのトレーニングは、今日の柔軟かつ執拗な人的脅威や標的型攻撃に対抗するために不可欠です。FOR578 サイバー脅威インテリジェンスでは、複雑なシナリオを評価し、戦術的、運用的、そして戦略的なレベルの脅威インテリジェンススキルを習得します。このコースは、既存の知識を拡張し、セキュリティチームのための新たなベストプラクティスを確立するのに役立ちます。

敵こそが教師だ!

サイバー脅威インテリジェンスは、高度化する持続的脅威(APT)に対処しようとする組織にとって、戦力増強の鍵となります。マルウェアは攻撃者のツールですが、真の脅威は人間によるものです。サイバー脅威インテリジェンスは、訓練を受けた優秀な防御担当者によって、こうした柔軟かつ執拗な人間の脅威に対抗することに重点を置いています。標的型攻撃を受けた場合、組織は、攻撃者の行動を理解し、脅威に対抗するために必要な脅威インテリジェンスを備えた、最高レベルの最先端の脅威ハンティング、セキュリティ運用、インシデント対応チームを必要とします。FOR578:サイバー脅威インテリジェンスでは、セキュリティチームの能力向上、脅威ハンティングの精度向上、インシデント対応の有効性向上、そして組織が進化する脅威環境をより深く認識するために必要な、戦術的、運用的、戦略的なレベルのサイバー脅威インテリジェンスのスキルとノウハウを、あなたとあなたのチームに提供します。

すべてのセキュリティ担当者は、分析スキルを磨くためにFOR578: サイバー脅威インテリジェンスを受講する必要があります。このコースは、これまでに経験したどの技術トレーニングとも異なります。構造化分析に焦点を当て、あらゆるセキュリティスキルセットの確固たる基盤を築き、既存のスキルを強化することを目的としています。このコースは、セキュリティ分野全般の実務担当者にとって、以下の能力向上に役立ちます。

  • 複雑なシナリオをより深く理解、統合、活用するための分析スキルの習得
  • 脅威モデリングなどの実践を通して、インテリジェンス要件の特定・作成
  • 戦術的、運用的、戦略的なレベルの脅威インテリジェンスを理解し、スキルの習得
  • 標的型攻撃を検知、対応、阻止するための脅威インテリジェンスの生成
  • 攻撃者のデータを収集するための様々な情報源と、それらのデータを活用し、活用する方法の習得
  • 外部から取得した情報を検証し、不適切なインテリジェンスによるコストを最小限に抑制
  • YARASTIX/TAXIIなどの形式で侵害指標(IOC)を作成する
  • 攻撃者の戦術、手法、手順を理解し、活用し、キルチェーン、ダイヤモンドモデル、MITRE ATT&CKなどのフレームワークの活用
  • あらゆるセキュリティ関連業務で成功するための構造化分析手法の確立

セキュリティ担当者が自らをアナリストと呼ぶのはよくあることです。しかし、単に技術研修に参加するだけでなく、体系的な分析研修を受けた人はどれくらいいるでしょうか。どちらも重要ですが、アナリストが分析的な思考方法の研修に重点を置くことは非常に稀です。このコースでは、アナリストが既存の知識を補完し、セキュリティチームのための新たなベストプラクティスを確立するための新しい考え方、方法論、そして手法を学ぶことができます。適切な分析スキルは、防御側が日々直面する複雑な世界において鍵となります。

攻撃者の意図、機会、そして危害を加える能力を分析することを、サイバー脅威インテリジェンスと呼びます。インテリジェンスはデータフィードでも、ツールから得られるものでもありません。インテリジェンスは、組織の主要な知識ギャップ、問題点、あるいは要件に対処するための実用的な情報です。このように攻撃者に関する知識を収集、分類、そして活用することで、防御側は攻撃者に対して優位に立つことができ、また、防御側は侵入に遭遇するたびに学習し、進化していくことができます。

サイバー脅威インテリジェンスは、ますます巧妙化する脅威に対処するために、対応プログラムや検知プログラムの構築または更新を検討している組織にとって、強力な戦力となります。マルウェアは攻撃者のツールですが、真の脅威は人間です。サイバー脅威インテリジェンスは、権限を与えられ訓練された人間の防御者によって、こうした柔軟かつ執拗な人間による脅威に対抗することに重点を置いています。

攻撃者に関する知識は、すべてのセキュリティチームにとって中核を成します。レッドチームは、攻撃者の手口を模倣するために、その手法を理解する必要があります。セキュリティオペレーションセンターは、侵入を優先順位付けし、緊急対応が必要な侵入に迅速に対処する方法を把握する必要があります。インシデント対応チームは、標的型侵入を迅速に調査し、対応する方法に関する実用的な情報を必要としています。脆弱性管理グループは、優先順位付けにおいて最も重要な脆弱性と、それぞれの脆弱性がもたらすリスクを理解する必要があります。脅威ハンティングチームは、新たな脅威を探し出すために、攻撃者の行動を理解する必要があります。

つまり、サイバー脅威インテリジェンスは、攻撃者に対処するためのあらゆるセキュリティ対策に情報を提供するものです。 FOR578: サイバー脅威インテリジェンスは、進化する脅威の状況を深く理解し、それらの脅威に正確かつ効果的に対抗するために必要なレベルの戦術的、運用的、戦略的なサイバー脅威インテリジェンスのスキルと技術を、あなた、あなたのセキュリティ チーム、そしてあなたの組織に提供します。

受講対象者

このコースは、レッドチーム担当者からインシデント対応者まで、あらゆるスキルセットのセキュリティ実務者に最適です。このコースは分析スキルに重点を置いています。

FOR578トレーニングのメリットを享受できる具体的な役割を担う方々には、以下の方々が含まれます。

  • インシデント対応チームのメンバー
  • 複雑なセキュリティインシデント/侵入に対応し、企業全体の侵害されたシステムの検出、調査、修復、復旧方法を知る必要がある方々
  • 脅威をより深く理解し、脅威から学ぶことで、より効果的に脅威をハンティングし、その背後にある技術に対抗できるようになりたいと考えている脅威ハンター
  • ネットワーク環境における攻撃者を特定するためのハンティング活動を支援するセキュリティオペレーションセンターの担当者および情報セキュリティ実務者
  • ファイルシステムフォレンジック、技術的に高度な攻撃者の調査、インシデント対応戦術、高度な侵入調査に関する理解を深めたいと考えているデジタルフォレンジックアナリストおよびマルウェアアナリスト
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのデジタルフォレンジックを超えた調査スキルを習得したいと考えている連邦捜査官および法執行官
  • インテリジェンスチームの構築、または技術スキルを活かし、組織内でインテリジェンスを活用したいと考えているテクニカルマネージャー
  • 分析スキルを次のレベルに引き上げたいSANS修了者

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

サイバー脅威インテリジェンスとその要件

このセクションでは、インテリジェンス、分析手法、脅威インテリジェンスのレベルといった最も重要な概念と、それらが組織にもたらす価値について学習します。

取り上げられるトピック

  • インテリジェンスサイクル、手法、分析手法
  • サイバー脅威の定義、リスク、アクター、脅威モデル
  • 脅威インテリジェンスの収集と生成

ラボ

  • 分析手法の評価
  • 構造化分析手法
  • 限界の理解と強化
  • 戦略的脅威モデリング
  • 情報収集計画の策定

概要

サイバー脅威インテリジェンスは急速に成長している分野です。しかし、「サイバー」という言葉が辞書に登場してくるずっと前から、インテリジェンスは専門職として存在していました。インテリジェンスの用語、分析手法、そしてその影響に関する重要なポイントを理解することは、サイバー脅威インテリジェンスを理解し、活用する上で不可欠です。このセクションでは、インテリジェンス、分析手法、そして脅威インテリジェンスのレベルに関する最も重要な概念と、それらが組織にもたらす価値について紹介します。また、計画、指示、そしてインテリジェンス要件の策定を通して、インテリジェンスプログラムを適切に開始することにも重点を置いています。他のセクションと同様に、このコースセクションには、受講者が理論を実践に移せるよう、没入型のハンズオンラボが含まれています。

ラボの詳細

  • 分析手法の評価
  • 構造化分析手法
  • 段階的な活用
  • 戦略的脅威モデリング
  • 情報収集計画の策定

トピックの詳細

  • ケーススタディ:MOONLIGHT MAZE
  • インテリジェンスの理解
    • インテリジェンス用語集と定義
    • 従来のインテリジェンスサイクル
    • リチャーズ・ホイヤー・ジュニア、シャーマン・ケント、そしてインテリジェンスのトレードクラフト
    • 構造化分析手法
  • メンタルモデルと構造化分析手法
  • ケーススタディ:オペレーション・オーロラ
  • サイバー脅威インテリジェンスの理解
    • 脅威の定義
    • リスクの理解
    • サイバー脅威インテリジェンスとその役割
    • 組織とアナリストへの期待
    • ダイヤモンドモデルとアクティビティグループ
    • 4つの脅威検知タイプ
  • 事例研究:プロメチウムとネオジム
  • 脅威インテリジェンスの活用
    • サイバーセキュリティのスライディングスケール
    • 異なる目標に向けたインテリジェンスの活用
    • 他のチームへのインテリジェンス提供
  • インテリジェンスを生するためのチームの準備
    • インテリジェンスチームの構築
    • 組織内におけるチームの位置づけ
    • インテリジェンス創出の前提条件
  • 事例研究:運用技術(OT)のサイバーセキュリティ
  • 計画および方向性(要件策定)
    • インテリジェンス要件
    • 優先度の高いインテリジェンス要件
    • インテリジェンスライフサイクルの開始
    • 脅威モデリング
  • 収集源、計画、および枠組み

基礎スキルセット:侵入分析

このセクションでは、攻撃者の活動に関する最初の通知からイベントの分析完了までの、多段階にわたる侵入プロセスを段階的に学習し、実際に体験します。また、このプロセスが攻撃者のキャンペーンの構築と定義において重要である点についても解説します。

取り上げられるトピック

  • 侵入分析
  • キルチェーンの詳細分析
  • 複数のキルチェーンへの対応

ラボ

  • 偵察とデリバリーからのインジケータ収集
  • インジケータを用いたネットワークデータへのピボット
  • インジケータを用いたメモリへのピボット
  • 侵入時の標的に対する行動の理解
  • 優先度の高い情報要件の充足

概要

侵入分析は脅威インテリジェンスの核心です。セキュリティ対策をより包括的なアプローチで行いたいと考えるセキュリティ担当者にとって、これは必須のスキルセットです。攻撃者の侵入を評価するために最も一般的に使用される3つのモデルは、キルチェーン、ダイヤモンドモデル、そしてMITRE ATT&CKです。これらのモデルは、侵入を分析し、攻撃者の行動や悪意のある兆候などのパターンを抽出するためのフレームワークおよび構造化されたスキームとして機能します。このセクションでは、攻撃者の活動に関する最初の通知からイベントの分析完了までの、多段階にわたる侵入を実際に体験し、理解を深めます。また、このセクションでは、攻撃者のキャンペーンの構造化と定義におけるこのプロセスの重要性についても重点をおきます。

ラボの詳細

  • 偵察とデリバリーからのインジケータ収集
  • インジケータを用いたネットワークデータへのピボット
  • インジケータを用いたメモリへのピボット
  • 侵入における目的達成のための行動の理解
  • 優先度の高いインテリジェンス要件の充足

トピックの詳細

  • 主要な収集ソース:侵入分析
    • コアスキルセットとしての侵入分析
    • 侵入分析の実行方法
    • 侵入キルチェーン
    • MITRE ATT&CK
    • ダイヤモンドモデル
  • キルチェーンの行動方針
    • 履歴データとログにおけるアクティビティの受動的な検出
    • 将来の脅威の行動と機能の検出
    • 脅威へのアクセス拒否
    • 敵対者の戦術とマルウェアの遅延と弱体化
  • キルチェーンの詳細分析
    • シナリオの概要
    • 悪意のある活動の通知
    • 単一のインジケータに基づく敵対者の活動の発見
    • 悪意のある行動の識別と分類
    • ネットワークおよびホストベースのデータの使用
    • 相互作用インシデント対応チームとの連携
    • マルウェアリバースエンジニアとの連携
    • 情報要求の効果的な活用
  • 複数のキルチェーンの処理
    • 同時発生する複数の侵入の特定
    • 複数のキルチェーンの管理と構築
    • 関連する侵入の関連付け
    • 長期追跡のための侵入からの知識抽出

収集ソース

​​このセクションでは、ドメイン、外部データセット、マルウェア、トランスポート層セキュリティ/セキュアソケットレイヤー(TLS/SSL)証明書などから情報を検索し、活用する方法を学習します。また、社内外で共有するために活用するデータを構造化します。

取り上げられるトピック

  • 収集ソース
  • さまざまな分析手法

ラボ

  • ドメインピボット
  • マルウェアサンプルを用いたExcelでの集計とピボット
  • オープンソースインテリジェンスによるピボット
  • TLS証明書によるピボット
  • Maltegoを用いたビジュアル分析

概要

サイバー脅威インテリジェンスアナリストは、収集ソースを徹底的に調査し、理解する必要があります。例えば、アナリストはマルウェアのリバースエンジニアリングを行う必要はありませんが、少なくともその作業を理解し、どのようなデータを探せるかを把握している必要があります。このセクションでは、アナリストにとって重要な収集ソースを特定するという前回のセクションに引き続き、オープンソースインテリジェンス(OSINT)と呼ばれる膨大な情報源についても解説します。このセクションでは、受講者はドメイン、外部データセット、マルウェア、トランスポート層セキュリティ/セキュアソケットレイヤー(TLS/SSL)証明書などから情報を探し出し、活用する方法を学びます。また、受講者は、社内外で共有するために活用するデータを構造化します。

ラボの詳細

  • ドメインピボット
  • マルウェアサンプルを用いたExcelでの集計とピボット
  • オープンソースインテリジェンスによるピボット
  • TLS証明書によるピボット
  • Maltegoによるビジュアル分析

トピックの詳細

  • ケーススタディ:Carbanak
  • 収集元:ドメイン
    • ドメインの詳細分析
    • 様々なタイプの攻撃ドメイン
    • ドメイン内の情報に基づくピボット
  • ケーススタディ:HEXANE
    • 収集元:マルウェア
    • マルウェア分析データ
    • 分析とピボットの対象となる主要データタイプ
    • VirusTotalとマルウェアパーサー
    • 侵入パターンと主要指標の特定
  • 収集元:マルウェア
  • ケーススタディ:キャンペーン中盤の変更
  • 収集元:外部データセット
    • 外部データセットからのリポジトリ構築
    • オープンソースインテリジェンス収集ツールとフレームワーク
  • 収集元:TLS証明書
    • TLS/SSL証明書
    • TLSを用いた新たなマルウェアサンプルとC2の追跡
    • TLS証明書に含まれる情報に基づく戦略転換
  • 事例研究:Poison CarpとI-Soonリーク
  • 様々な分析手法の活用
  • 事例研究:パナマ文書

インテリジェンスの分析と生成

このセクションでは、受講者は情報の構造化と保存方法、分析ツールを活用して論理的誤謬や認知バイアスを特定する方法、競合する仮説の分析など、構造化された分析手法をグループで実行する方法、侵入を脅威グループに分類する方法を学びます。

取り上げられるトピック

  • 人間が操作するランサムウェア
  • データの保存と構造化
  • 論理的誤謬と認知バイアス
  • 侵入のクラスタリングとアクティビティグループの作成

ラボ

  • MISPへの脅威データの保存
  • 脅威分析における研究の活用
  • 認知バイアスの特定
  • 競合する仮説の分析
  • 2の法則

概要

優れたデータには、優れた分析への期待が伴います。受講者は侵入と収集のさまざまなソースに精通したので、長期的な分析に必要なインテリジェンス要件を満たすために、この情報の使用方法に分析の厳密さを適用することが重要です。単一の侵入をグループにまとめ、攻撃者のキャンペーンを追跡することは、攻撃者に先手を打つために不可欠です。

ラボの詳細

  • MISPにおける脅威データの保存
  • 脅威分析における研究の活用
  • 認知バイアスの特定
  • 競合仮説の分析
  • 2の法則

トピックの詳細

  • ケーススタディ:人間が操作するランサムウェア
  • エクスプロイト:データの保存と構造化
    • 脅威データの保存
    • 脅威情報の共有
    • ストレージプラットフォームとしてのMISP
  • 二次調査およびサイバー脅威インテリジェンス
  • 分析:論理的誤謬と認知バイアス
    • 論理的誤謬
    • 認知バイアス
    • サイバー脅威インテリジェンスにおける一般的な非公式の誤謬
  • 分析:仮説の探求
    • 競合仮説の分析
    • 仮説の生成
    • 知識ギャップの理解と特定
  • 分析:侵入のクラスタリング
    • 視覚的分析
    • データ分析
    • 時系列分析
    • ケーススタディ:パナマ文書
    • 分析:侵入のクラスタリング
    • スタイルガイド
    • 名前とクラスタリングルール
  • 事例研究:APT10とAPT31
  • アクティビティグループとクラスターのダイヤモンドモデル
    • スタイルガイド
    • 名前とクラスタリングルール
    • 侵入のACH
    • アクティビティグループとクラスターのダイヤモンドモデル

発信とアトリビューション

インテリジェンスは、消費者にとって有用な情報として発信されなければ意味がありません。このセクションでは、戦術、運用、戦略の様々なレベルにおける発信について学習します。

取り上げられるトピック

  • 戦術的情報伝達
  • 作戦的情報伝達
  • 戦略的情報伝達
  • 帰属特定

ラボ

  • YARAにおけるIOC(侵害指標)の開発
  • 作戦文書作成
  • 作戦効果を高めるためのビジュアルの活用
  • 帰属特定モデルの作成と擁護

概要

ラボでは、YARAルールの作成、STIX/TAXIIの活用、長期的な攻撃者追跡のためのキャンペーンヒートマップの作成、インテリジェンスレポートの分析について学びます。また、攻撃者のアトリビューションについて、どのような場合に価値があり、どのような場合に単なる妨害にしかならないのかを含めて学習します。これまでに特定されたキャンペーンにおける状態レベルのアトリビューションについても解説し、サイバー脅威インテリジェンス業界の現状をより包括的に捉えます。このセクションの最後には、脅威インテリジェンスの活用と実用的な教訓について議論し、受講者がコース修了後に組織内で大きな変化を起こせるようにします。

ラボの詳細

  • YARAにおけるIOCの開発
  • オペレーショナル・ライティング
  • オペレーショナル・インパクトのためのビジュアル活用
  • アトリビューション・モデルの作成と防御

トピックの詳細

  • ケーススタディ:Axiom
  • 情報発信:戦術的
    • オーディエンスと消費者の理解
    • 脅威データフィードとその限界
    • YARA
    • YARAの概念と事例
  • ケーススタディ:ハッキングチーム
  • 情報発信:オペレーショナル
    • キャンペーン相関の様々な手法
    • 攻撃者の意図の理解
    • キャンペーン分析のためのダイヤモンドモデルの活用
    • STIXとTAXII
    • 政府機関とパートナーとの連携
  • 情報発信:戦略的
    • レポート作成の落とし穴
    • レポート作成のベストプラクティス
    • 様々な種類の戦略的アウトプット
  • ケーススタディ:APT10とCloud Hopper
    • 特定のインテリジェンス要件:帰属特定
    • 新たな情報要件の特定と対応
    • 収集管理フレームワークの最適化
    • 帰属特定の種類
    • 帰属特定モデルの構築
    • 帰属特定評価の実施
  • 具体的な情報要件:帰属特定
  • 事例研究:ラザルス・グループ

キャップストーン

FOR578のキャップストーンは分析に重点を置いています。受講者はチームに分かれ、技術ツールと事例に基づいた成果物を用いて、単一の侵入から関連情報をつなぎ合わせ、より広範なキャンペーンを解明する作業に取り組みます。

概要

受講者は、インシデント対応チームの支援から州レベルのアトリビューション目標の達成に至るまで、幅広いインテリジェンス要件を満たす実践的な経験を積みます。この分析プロセスは、技術ツールの使用に重点を置くのではなく、受講者の思考力を試す場となります。最終日には、各チームが発見した複数のキャンペーンにまたがる脅威に関する分析結果を発表します。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。