ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 572

Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response

※本コースは中止となりました。次回開催をお待ちください。

Digital Forensics and Incident Response

English
日程

2024年1月22日(月)~1月27日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GNFA
講師
Joshua Lemon|ジョシュア レモン
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

【早割価格】1,220,000 円(税込み:1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,350,000 円(税込み:1,485,000 円)

申込締切日
【早割価格】2023年12月27日(水)
【通常価格】2024年1月12日(金)
オプション
  • GIAC試験 価格:160,000 円(税込 176,000 円)
  • OnDemand 価格:160,000 円(税込 176,000 円)
  • NetWars Continuous 価格:270,000 円(税込 297,000 円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR572 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

コースの全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく講義を受けることができない可能性が高いです。そのため、次の条件をすべて満たすシステムを用意することを強くお勧めします。

コースの開始前にはシステムのバックアップをかならず取ってください。また、重要なデータはシステムに保存しないでください。SANSでは受講生のシステムやデータに責任を負うことができません。

ノートパソコンのハードウェア要件

  • CPU 64-bit Intel i5/i7 (第8世代以上) - x64 bit 2.0+ GHz プロセッサ、またはそれ以上の最新のプロセッサがこのクラスには必須です(重要 - 必ずお読みください:64ビットシステムプロセッサが必須です)。
  • 重要:M1 / M2プロセッサを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
  • Intel-VTxのような仮想化技術を有効にするために、BIOS設定を行う必要があります。 BIOSがパスワードで保護されている場合は、変更が必要な場合に備えて、BIOSにアクセスできることを絶対に確認してください。テストしてみてください。
  • 16GB以上のRAMが必要です
  • USB 3.0 Type-Aポートが必要です。USB 3.0 Type-Aポートが1つ以上開いていて、動作することが必要です。(新しいラップトップではType-C to Type-Aアダプタが必要な場合があります。) (注意:エンドポイント保護ソフトウェアの中には、USBデバイスの使用を妨げるものがあります。授業の前にUSBドライブでシステムをテストし、コースデータを読み込めるかどうか確認してください。)
  • 250GB以上の空きストレージ容量が必要です。

  • ワイヤレス 802.11 対応 - 教室内には有線ネットワークはありません。

ノートパソコンのホストOS要件とソフトウェア要件

  • ホストのオペレーティングシステム。最新バージョンのWindows 10、Windows 11またはmacOS 10.15.x
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストは、その多くのバリエーションのため、教室ではサポートされていません。Linuxをホストとして使用する場合、コース教材やVMで動作するように設定することは、お客様の責任となります。
  • ローカルアドミニストレーターアクセスが必要です。(はい、これは絶対に必要です。IT チームにそうでないと言われないようにしてください)。もし、あなたの会社がコース期間中、このアクセスを許可しない場合は、別のノートパソコンを持参するよう手配する必要があります。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっているか、完全に削除されているか、またはそのための管理者権限を持っていることを確認する必要があります。当社のコースの多くは、オペレーティングシステムへの完全な管理者権限を必要とするため、これらの製品によってラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、コースのラボを達成するのを妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持っている必要があります。
  • Microsoft Office(バージョン問わず)またはOpenOfficeがホストにインストールされていること。なお、Officeの試用版ソフトはオンラインでダウンロードできます(30日間無料)。
  • VMware Workstation Pro 16.2.X+ または VMware Player 16.2.X+Windows 10ホスト用)、VMware Workstation Pro 17.0.0+ または VMware Player 17.0.0+Windows 11ホスト用)、VMWare Fusion Pro 12.2+ または VMware Fusion Player 11.5+ macOSホスト用) をクラス開始前にダウンロードおよびインストール。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトからトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。また、VMware Workstation Playerは、VMware Workstation Proよりも機能が少ないことに注意してください。Windowsのホストシステムを使用している場合は、よりシームレスな学生体験のために、Workstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。最良の体験をするためには、VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする方法は、コース教材に付属のセットアップ文書に記載されています。
  • 7Zip(Windowsホスト用)またはKeka(macOS用)をダウンロードし、インストールします。

コースのメディアがダウンロードで配信されるようになりました。講義で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは講義初日にすぐに必要になります。講義が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。

教材には、ライブ授業に参加する前、またはオンライン授業を開始する前に行うべき重要な手順が記載された「セットアップ手順書」が含まれています。この手順を完了するには、30分以上かかる場合があります。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も講義の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。

ノートパソコンの設定に関して追加で質問がある場合は、laptop_prep@sans.orgにお問い合わせください。

コース概要

システムをベースにしたフォレンジック知識をネットワークに活かしましょう。ネットワークのエビデンスを調査に組み込むことで、より良い発見を提供でき、結果として仕事がはかどることでしょう。

ネットワークの要素を含まないフォレンジック調査を行うことは非常にまれです。エンドポイントに対するフォレンジックは、この業種において常に基本的かつクリティカルなスキルですが、ネットワーク通信を見落とすことは、犯罪の防犯カメラ映像を無視するようなものです。侵入事件、データ盗難、従業員の悪用、攻撃者の発見といった様々な事件に対して、ネットワークに対する検査をすることは、決定的な事実を証明することに役立ちます。ネットワークに関するエビデンスは、説明する必要がある事象に対して証拠を提供し、数カ月以上活動しているような攻撃者をも暴くことができます。最終的に、発生した犯罪について、誰もが疑うことのできない証拠とすることができます。

FOR572は、今日の調査業務においてネットワーク通信への注目が高まっていることから、多くの例を含め、必要とされる最も重要なスキルをカバーするよう設計されています。多くの調査チームでは、既存の証拠を新たに取得した脅威インテリジェンスを使って、以前に確認されていないインシデントの証拠を明らかにするために、プロアクティブな脅威ハンティングをスキルに取り入れています。また、インシデント後の調査と報告に重点を置くチームもあります。また、被害者の環境から攻撃者を封じ込め、根絶させることを目的として、リアルタイムで敵対者と交戦する者もいます。このような状況やその他の状況において、攻撃者の通信から残された成果物は、攻撃者の意図、能力、成功、失敗についての貴重な情報を提供してくれます。最も熟練した遠隔攻撃者が、検出できないような攻撃によってシステムを危険にさらしたとしても、そのシステムは、必ずネットワークを介して通信が行われます。 侵害したシステムへの指示(コマンドーコントロール)とデータを抜き出すチャネル(抽出チャネル)がなければ、侵入したコンピュータシステムの価値はほとんどゼロになるということを覚えておいてください。

本コースでは、ネットワーク上のエビデンスを調査に取り込むために必要なツール、テクノロジ、およびプロセスについて効率的に習得できるように説明していきます。この一週間であなたは、豊富なツール類と、職場に戻ってからすぐ利用できる知識を身につけることができるでしょう。高レベルのNetFlow解析、低レベルレイヤーのpcap探査、補助的なネットワークログ検査など、ネットワークエビデンスのあらゆる範囲を網羅します。数カ月から数年の価値があるエビデンスを含む既存のインフラストラクチャデバイスを基に活用する方法と、インシデントがすでに進行中の時に新しいコレクションプラットフォームをどのように配置するかについて説明します。


あなたがお客様の現場で対応しているコンサルタントであっても、サイバー犯罪の被害者を支援し、責任者の訴追を求める法執行機関の専門家であっても、フォレンジック実行担当者であっても、「脅威ハンター」の上位メンバーであっても、 あなたのキャリアを次のレベルに引き上げるのに役立つ実際のシナリオに基づいた演習を提供します。SANS SECURITY各コースの既受講生やネットワークディフェンダーには、より多くのインシデント対応と調査責任者として、セキュリティ運用に関するこのFOR572 Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseの内容から得るものがあるでしょう。FOR572では、ディスクイメージやメモリイメージを使用せずに、実世界の問題と同様の問題を解決していきます。

FOR 572のハンズオンラボのほとんどは、FOR 508:Advanced Incident Response,Threat Hunting,Digital Forensicsの最新版と足並みを合わせて開発されています。そのことにより、ホストとネットワークの両方のアーティファクトを含むハイブリッドアプローチが理想的であることをご理解いただくことができるはずです。このコースの主な焦点はネットワーク側から見た読み解き方にあてていますが、ホストの側面でより深い示唆を得る方法についてもフォーカスしていきます。FOR508の既受講生や、これから同コースを受講される方は、こうした関連性を高く評価するでしょう。

このクラスのハンズオンは、幅広いツールとプラットフォームをカバーしています。その中には、パケットキャプチャと分析のために長年使われているtcpdumpやWireshark、アーティファクト抽出のためのNetworkMinerや、nfdump、tcpxtract、tcpflowなどのオープンソースツールなどがあります。本コースに新たに追加されたツールには、SOF-ELKプラットフォーム(事前設定済みのELKスタック付きのVMwareアプライアンス)があります。この「ビッグデータ」プラットフォームには、Elasticsearchのストレージおよび検索データベース、Logstashの取り込みおよび解析ユーティリティ、そしてKibanaのグラフィカルダッシュボードインターフェイスが含まれています。これらは、カスタムSOF-ELKコンフィギュレーションファイルとともに、様々なログやNetFlow解析が行なえるように準備されたプラットフォームとなっています。さらに、フルパケット解析とその段階での捜索のために、Molochプラットフォームも準備されています。 また、すべてのラボを通して、シェルスクリプト機能を使用して、数百および数千のデータレコードを簡単にリッピングする作業も行なっていただきます。

FOR572は応用コースであり、基礎に相当するのは初日のみになります。フォレンジックテクニックと方法論、ネットワーキング(ネットワークからユーザ向けサービスまで)、Linuxシェルユーティリティ、そしてそれらに関連する事項を復習しておいてください。本コース内容を通して、これらのスキルは、1バイト(または1パケット)ずつ、インシデントを解き明かし、犯罪に立ち向かうのにきっと役立つでしょう。

講義内容の一例

  • ネットワークフォレンジックツール基礎:tcpdump と Wiresharkリフレッシャー
  • パケットキャプチャアプリケーションとデータ
  • ネットワークを中心としたフォレンジックプロセスの特別な考慮事項
    • ネットワークエビデンスの種類とソース
    • 調査担当者のためのネットワークアーキテクチャの課題と機会
    • 調査OPSECとフットプリントに関する考察
  • ネットワーク プロトコル 解析
    • DNS
    • HTTP
    • FTP
    • Server Message Block (SMB) と関連するMicrosoft プロトコル
    • SMTP
  • 市販ネットワーク フォレンジック ツール
  • 自動化されたツールとライブラリ
  • NetFlow
    • 導入
    • 収集アプローチ
    • オープンソースNetFlowツール
  • ワイヤレスネットワーキング
    • ワイヤレストラフィックのキャプチャ
    • ワイヤレストラフィックからの有用なフォレンジック証跡
    • 一般的な攻撃方法と検出
  • ネットワーク検査を補うためのログデータ
    • Syslog
    • Microsoft Windows Eventing
    • HTTP サーバログ
    • ファイアウォール、侵入検知 システム(IDS)と ネットワークセキュリティ監視 (NSM) プラットフォーム
    • ログの収集、アグリゲーションと解析
    • Webプロキシサーバの検査
  • 暗号化
    • Secure Sockets Layer (SSL)  /  Transport Layer Security (TLS)
    • インターセプトせずにTLSクライアントをプロファイリングする
    • 導入
    • 中間者攻撃(Meddler-in-the-middle)
    • SSL(Secure Sockets Layer)とTLS(Transport Layer Security)
  • ディープパケットワーク 
    • ネットワークプロトコル リバースエンジニアリング 
    •  ペイロードの再構築

受講対象者

  • エンドポイントシステムからネットワークに調査範囲を拡大しているインシデント対応チームのメンバーやフォレンジック担当者
  • 既に集められたエビデンスに対する新しい知識を活用して、ネットワーク環境にて攻撃者を積極的に探すハントチームメンバー
  • ハントオペレーションをサポートし、ネットワーク環境にて攻撃者を特定しようとするセキュリティオペレーションセンター(SOC)の対応者、または情報セキュリティ実務者
  • 捜査および/またはインシデント対応の負荷が上がっているのネットワークディフェンダー
  • 法執行官、捜査官、ネットワークフォレンジック案件の専門家になりたい刑事
  • リスクを管理し、情報セキュリティの意味を伝え、調査チームを管理するためにネットワークフォレンジックを理解する必要がある情報セキュリティ管理者
  • 調査要件に適合するようにネットワークを積極的にハンドリングしなければならないネットワークエンジニア
  • ネットワーク調査の仕組みを学びたい情報技術の専門家
  • コンピュータフォレンジック、情報システムおよび情報セキュリティの見識を持つコンピューターネットワークの侵入と調査に関心のある方

※FOR572は、GIAC(GNFA)認定試験対象コースです。

コース開発者より

私がコンピュータとネットワークのセキュリティに関心を持ち始めた1990年代半ばの頃、別のコンピューターネットワークを「攻撃する」という考え方はサイエンスフィクションでした。 今日では、民間や行政、軍、それにインテリジェンスな組織は堅牢で統合された情報セキュリティプロセスを持っています。 フォレンジックのコミュニティ内では、我々が動的な攻撃者に直面する度に効果的で俊敏な対応を行い、進歩してきました。エンドポイントフォレンジックの演習は近い将来もデジタルフォレンジックの根本的要素としてあり続けます。なぜならそこでイベントが最終的に発生するからです。

このようなデジタルフォレンジックの最も注目すべき領域に対処するために、FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseコースが作成されました。多くの企業は、何千ものエンドポイントの中から一握りを調べることが重要な課題であると理解できるレベルまで成長しており、ネットワークはインシデント対応と調査のための独自の媒体になっています。
ネットワークからキャプチャしたデータ自体を含め、あらゆるネットワーク機器から取得した証拠を利用する力が今後の脅威への対策を成功させる重要な能力になります。低俗な "スクリプトキディ"から国家主導の戦略的なスパイ活動のような長期的な攻撃まで、ネットワークはインシデントライフサイクルを通じて利用される共通要素の1つです。 FOR572では、実際に起きたケースを基に作ったシナリオを使用して、ツールやメソッドを用いてあらゆる規模のネットワーク環境での調査方法を教えます。本コースを終える頃には貴方は職場に戻ってすぐに使える貴重な知識と、次世代の攻撃者の能力に対抗できる手段を身に着けているでしょう。
- Phil Hagen

私が初めてコンピューターセキュリティー業界に入ったころ、APT攻撃という用語はまだ知られていませんでした。しかし私は個人的に、民間や行政ネットワークから取得したテラバイト単位のデータを復元していました。ニュースになった最も大きなサイバーセキュリティの脅威は最新のワームで、無防備なシステムを媒介として、実質的な破壊というよりは妨害行為をするというものでした。ロシアン・ビジネス・ネットワークとして知られているものは当時まだ存在しませんでした。ネットワークセキュリティの監視はまだ初期段階にあり、正式な文書やベストプラクティスはほとんどなく、システム管理者向けのみでした。インターネットは拡大し続ける中、多くのシステムが相互接続され、ネットワークに対する脅威は成長し続けます。FOR572は、私たちがこのネットワークフォレンジックや調査の業界に入った頃にあれば良かったと思うようなクラスにしています。必要な時にバックグラウンドを提供するだけでなく、主に複数のデータソースを使用して徹底的な調査を実施し、犯罪者を見つける為のクラスです。私はこのコースにおいて、実際の経験と調査に基づいた、新旧の両方のトピックを網羅する最新のトレーニングが提供できると自負しています。
- Mat Oldham

Philは、私がこれまで学んだ講師の中で最も優れた講師の一人でしょう。彼は優秀な男で、頭が良く、教えながら関連する業界知識をたくさん持っていて、内容を面白く保つ方法を知っています。
- Ronald Bartwitz, Southern Company

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ディスクからネットワークへ

概要

ネットワークフォレンジックの概念は、他のデジタルフォレンジック調査のコンセプトと似ていますが、ネットワークには特に注意が必要な異なる点があります。1日目は、ネットワークベースのエビデンスに対するデジタルフォレンジックとインシデント対応について、どのように適用すればいいかを学びましょう。そして、基本的なツールに慣れるようにしましょう。

ネットワークデータは保存できますが、ネットワークから直接取得した場合に限ります。戦術的または戦略的であろうと、パケットキャプチャは非常に基本的です。ネットワークパケットをキャプチャして分析に使用される、最も一般的なツールであるtcpdumpとWiresharkを再認識しましょう。しかしながら、長期間のフルパケットキャプチャはほとんどの環境ではまれであるため、ネットワーク機能を管理する様々なデバイスの証跡から、過去にネットワークでなにが起こったかを読み取ります。どのような種類のデバイスが貴重なエビデンスを提供し、どのレベルの粗さで提供しているかについて学習します。最も一般的なネットワークエビデンスの1つであるWebプロキシサーバからエビデンスを収集する流れを見ていき、プロキシから盗まれたデータを見つけて抽出することを実際に行います。

Linux SIFT仮想マシンには、特にネットワークフォレンジックツールセットが搭載されており、今週の主なツールキットとなります。

演習

  • Lab環境の準備
  • tcpdump と Wireshark ハンズオン
  • 抽出されたデータのカービング

トピック

  • プロキシサーバ 検査
    • Webプロキシの役割
    • プロキシソリューション-市販・オープンソース
    • Squidプロキシサーバ
    • コンフィグレーション
      • ロギング
      • 自動化された解析
      • キャッシュ抽出
  • ネットワークフォレンジックツール基礎:tcpdumpとWireshark
    • tcpdump の振り返り
      • pcap ファイルフォーマット
      • バークレーパケットフィルタ (BPF)
      • データ削減
    • 役立つコマンドラインフラグ
      • Wiresharkの振り返り
      • ユーザインタフェース
      • ディスプレイフィルタ
      • ネットワークフォレンジック解析に有用な機能
  • ネットワークエビデンス収集
    • 3つのコアタイプ:フルパケット、ログ、NetFlow
    • キャプチャデバイス:スイッチ、タップ、レイヤ7ソース、NetFlow
    • キャプチャ計画:戦略、市販およびハンドメイドのプラットフォーム
  • ネットワークアーキテクチャの課題と機会
    • ネットワーク環境による課題
    • ネットワークフォレンジックに影響を与える将来のトレンド

コアプロトコルとログ集計/分析

概要

プロダクションネットワーク環境で使用されるプロトコルは数千種類もあります。そのうち、フォレンジックのケーススタディに役立つプロトコルだけでなく、公開されていないもの、または新たなプロトコルの分析方法に役立つプロトコルについても取り上げていきます。これらのプロトコルの「典型的」な動作を学ぶことによって、不正目的で悪用されているプロトコルや攻撃目的であることを示唆できるプロトコルの異常をより迅速に特定することができます。これらの異常なプロトコルの証跡は、トラフィック分析やそのトラフィックの制御または権限を持つシステムによって作成されたログにより分析が可能です。これにより調査者はネットワークトラフィックを分析する膨大な機会を得ることができますが、通常大量のソースデータを効率的に分析するには、それを目的に設計されたツールと手段が必要です。

プロトコルの異常動作を識別するためにはプロトコルの正常な動作を知ることが重要です。よく使用されているネットワーク通信プロトコルのいくつかを見ながら、攻撃者やマルウェアの作成者によって簡単に悪用されてしまう手段・方法に焦点を当て進めていきます。

典型的なネットワーク環境で使用される膨大なプロトコルを徹底的に網羅できるコースはありませんが、どんなに新しいプロトコルでさえも必要なスキルを学び身に付ける必要があります。新しいプロトコルは常に開発されており、「学ぶスキルを身につける」能力は非常に重要であるでしょう。熟練の攻撃者も独自のプロトコルを開発しており、これについてはクラス後半でも出てきますが、これらの公開されていない開発プロトコルを正しく理解し対処することは、このセクションで得られる流れと同じようなプロセスを辿ります。

ログデータは、ネットワークフォレンジックの領域において陰の功労者の1つです。フルパケットキャプチャは完璧に見えますが、いくつかの欠点があります。総合的な収集システムをまだ導入していないもしくは導入できない組織が多くあるため、フルパケットキャプチャを入手するのは困難です。それらが使用されている場合、効果的に処理することが難しく、また数日および数週間のローリングバッファーで保持する必要のある膨大な量のデータをネットワークキャプチャシステムは素早く収集します。

ほとんどのネットワークトラフィックが暗号化されるようになったことで、フルパケットキャプチャを使用する際の解析にも大きな障壁となり、通信のエンドポイントにログを残しておくことが最も影響を与える可能性のあるものとなります。

このセクションでは、エンドポイント端末やネットワークトランスポートデバイスの両方で利用できる様々なロギング・メカニズムについて学習します。また、複数のソースからログデータを集約し、広範なエビデンスを一箇所に統合する方法についても学習します。ログデータの量が増加すると、自動化分析ツールの考慮も必要になります。取得したログの集約と分析にSOF-ELKプラットフォームを使用することで、侵入調査における迅速かつ決定的な見識が得られます。

演習

  • HTTP プロファイリング
  • DNSのプロファイリング、例外、スコーピング
  • SOF-ELKを使用したログアグリゲーションと解析

トピック

  • Hypertext Transfer Protocol (HTTP) Part 1: プロトコル
    • フォレンジック評価
    • リクエスト/レスポンス解析
    • 有益な HTTP フィールド
    • HTTPトラッキングクッキー
    • HTTP/2 アーティファクト
    • アーティファクトの抽出
  • Hypertext Transfer Protocol (HTTP) Part2:ログ
    • ログ フォーマット
    • 拡張 mod_forensic ロギング
    • 解析方法
  • DNS:プロトコル と ログ
    • アーキテクチャとコア機能
    • トンネリング
    • Fast Fluxおよびドメイン名生成アルゴリズム(DGA)
    • ロギング方法
    • アンプ攻撃
  • フォレンジックネットワークセキュリティ監視
    • 侵入検知システム(IDS)からのNetwork Security Monitoring (NSM)の登場
    • Zeek NSMプラットフォーム
      • Proactive/liveユースケース
      • Post-incident DFIR ユースケース
      • 作成されたログと使用されるフォーマット
    • "jq" ユーティリティを使った JSON パース
    • コミュニティIDフローハッシュ値

  • ロギングプロトコルとアグリゲーション
    • Syslog
      • 二重の役割:サーバとプロトコル
      • ソースと収集プラットフォーム
      • イベント解析
      • rsyslog コンフィグレーション
    • Microsoft Eventing
      • 展開モデルと機能
      • Windows Event Forwardi
      • アーキテクチャ
      • 解析モード
    • ログデータの収集・アグリゲーション・解析
      • アグリゲーションの利点:規模、範囲、独立検証、効率
      • 既知の欠点と緩和
      • 包括的なログアグリゲーションプラットフォームの評価
  • ELK スタックとSOF-ELKプラットフォーム
    • ELKスタックの基礎、 利点と欠点
    • SOF-ELK
      • 入力
      • ログ中心のダッシュボード
      • データ探査プラットフォームとしての利用
    •  

NetFlowとファイルアクセスプロトコル

概要

一般的にNetFlowと呼ばれるネットワーク接続のロギングは、ネットワーク調査において最も重要なエビデンスソースの1つです。 多くの組織では、ストレージ要件を最小限に抑えながら、できるかぎり多くのデータフローアーカイブを保持しています。 NetFlowは送信内容を取得しないため、長期保有に伴う法的問題が軽減されます。 送信内容がなくとも、NetFlowは調査を導き、攻撃前から進行中の攻撃者の動向の特徴を明らかにする優れた手段を提供します。 ターゲット環境内であろうとなかろうと、もしくはデータの流出に関係なく、攻撃者は様々なファイルアクセスプロトコルを使用してターゲットとする場所で行動します。よく使われているファイルアクセスおよび転送プロトコルを理解することにより、フォレンジック担当者は攻撃者による不正行為を迅速に特定することができます。

従来の調査により描かれる青写真からも重要な手がかりが得られますが、NetFlowデータはネットワーク通信に関する極めて重要度の高い情報をネットワークフォレンジック担当者に提供することができます。 より詳細な調査活動を推進するためにはNetFlowのエビデンスの活用方法を知ることが、情報を抽出する鍵となります。

NetFlowは、環境内の典型的な動作のベースラインを求めるのに理想的な技術であり、ベースラインから逸脱している場合は悪意ある行動である可能性があります。 Threat huntingチームもまたNetFlowを使用することで、新たに検出された疑わしいエンドポイントやトラフィックパターンと一致する事前の接続を識別することができます。

このセクションでは、NetFlowプロトコルの内容や、また一般的な収集アーキテクチャと分析方法について学習します。 また、扱いにくいpcapファイルを分析する前に、フルパケットコレクションをNetFlowレコードに展開して、初期分析を行う方法について学びます。

たとえば、ファイル転送プロトコルについて、FTPセッションから特定のファイルを再構築する方法を含めた調査を行います。FTPは通常データ転送に使用されますが、そのマルチストリームの性質からプロトコル解析技術を見直すよい機会になるからです。

最後に、Microsoft Windows または Windows と互換性のある環境に特有のさまざまなネットワークプロトコルを調べます。SMBプロトコルは、Microsoft Windowsのドメイン構造において、ファイル転送やその他の無数の目的で使用されています。攻撃者は頻繁にこれらのプロトコルを使用して、被害者の環境内で「土地に住み着く」ようにします。既存のプロトコルや予想されるプロトコルを使用することで、攻撃者は目に見えない場所に身を隠し、調査官にその存在と行動を密告する可能性のあるマルウェアを展開することを回避することができるのです。

演習

  • SOF-ELKを用いた視覚化されたNetFlow解析
  • NetFlowによる横展開のトラッキング
  • SMB セッションの解析と再構築

トピック

  • NetFlowの収集と解析
    • NetFlowの起源と進化の歴史
    • NetFlowプロトコル v5 / v9
    • アーキテクチャの構成要素
    • 暗号化されたトラフィックの検査に役立つNetFlowアーティファクト
  • オープンソース NetFlowツール
    • オープンソースツールセットを使用したNetFlowデータの検査
    • nfcapd、nfpcapdとnfdump
    • SOF-ELK:NetFlowの取得とダッシュボード
  • FTP
    • FTPの歴史と現在における活用
    • 現在のネットワークにおける欠点
    • キャプチャと解析
    • ファイル抽出
  • Microsoft プロトコル
    • アーキテクチャとキャプチャの位置付け
    • Exchange/Outlook
    • SMP v1/v2/v3

市販ツール、ワイヤレス、フルパケットハンティング

概要

市販ツールは、ネットワークフォレンジック担当者にとってツールキットの主力となるでしょう。 市販ツールが一般的に実装している機能を、調査ワークフローと統合する最適の方法について検討します。 ワイヤレスネットワークの急速な普及に伴い、この技術がもたらす特有の課題に対処できるよう準備をしなければなりません。 しかしながら、検査されるプロトコルの性質や分析を実行するための予算の過多にかかわらず、フルパケットキャプチャの検証手段を持っていることが不可欠であり、そしてそれを実行するためのツールキットがあることが重要です。

フォレンジック担当者が通常、遭遇するかもしれない状況において、市販ツールには明らかな利点があります。最も一般的なのは、スケーラビリティです。 多くのオープンソースツールは、戦術的な使用もしくは小規模な使用のために設計されています。 大規模な展開や特定のニッチ機能に使用する場合でも、これらのツールは多くの調査ニーズにすぐさま対応することができます。

さらに、ワイヤレスネットワークのフォレンジックにも取り組んでいきます。従来の有線ネットワーク検査との類似点や相違点、および無線プロトコルからどのような興味深い証跡が回収できるのかについても説明します。 攻撃者がこれらの弱点をどのように攻撃に利用できるか、そして攻撃がどのように検出されるかなど、ワイヤレスにおける特有の弱点も取り上げていきます。

最後に、市販ツールを使用しなくても、フルパケットキャプチャから大規模な検証を行えるよう改善するための方法を見ていきます。オープンソースのMolochプラットフォームと、それをライブおよびフォレンジックなワークフローにてそれがどのようにして使用されているのかを見ていきます。すぐに使用できるMoloch仮想マシンを使用して、調査済みのインシデントからソースデータをロードし、そして以前キャプチャされたフルパケットデータから真実を探します。

演習

  • NetworkMinerによる自動抽出
  • コマンドラインツールを使用する解析
  • Molochを使用したネットワークフォレンジック解析

トピック

  • Simple Mail Transfer Protocol (SMTP)
    • メールメッセージのライフサイクル
    • 配信経路の間に埋め込まれたアーティファクト
    • 適応と拡張
  • NetworkMinerによるオブジェクト抽出
    • DFIRワークフローにおける商用ツールの価値
    • NetworkMiner
      • 機能とユーザーインターフェース
      • オブジェクト抽出のユースケース
      • 限界と緩和
  • 無線ネットワークフォレンジック
    • 有線ネットワーク解析の無線環境への適用
    • キャプチャ方法論:ハードウェアとソフトウェア
    • 有益なプロトコルフィールド
    • 保護メカニズムに基づく典型的な攻撃の方法論
  • 自動化されたツールとライブラリ
    • 大規模解析と繰り返し可能なワークフローを促進する一般的なツール
    • カスタムツールとソリューションに関するライブラリ
    • ツールの効果的な連鎖
  • Molochによる完全パケットハンティング
    • Molochのアーキテクチャとユースケース

    • DFIRワークフローのためのパケットデータの摂取方法
    • セッションアウェアネス、フィルタリング、フォレンジックのユースケース
    • hunt jobでの生パケット検索
    • 抽出されたメタデータの充実
    • CyberChef を使ったカスタムデコード

暗号化、プロトコル リバーシング、OPSEC、インテリジェンス

概要

一般的な技術の発達によって簡単に攻撃者になれるようになり、それらを追跡することは困難になりました。強力な暗号化方式はすぐに利用可能で、独自プロトコルを作成して利用するのも簡単です。 それでも、最も高度な攻撃者の手法にさえ弱点はあります。攻撃者が我々から何を意図的に隠しているのかを考えながら、調査をしていることを察知されないように慎重に進めていかなければなりません。さもなければ、攻撃者がすぐ路線を変更し、それまでの調査の進捗を無効化されてしまうからです。

暗号化は、ネットワークフォレンジックにとって良い意味で最も重要なハードルであると言われています。暗号化は適切に実装されると解析者側との壁に成りえますが、技術的および実装上の弱点を利用することもできます。これらの弱点が存在しない場合でも、暗号化されたネットワークトラフィックへの適切な分析アプローチによって、コンテンツに関する貴重な情報を得ることが出来ます。ここでは暗号化の基本と、調査中にどのように暗号化へアプローチするかについて説明します。またこのセクションでは、暗号化された通信を特徴づけるフロー分析についても説明します。

また、不当な目的の為の公開されていないプロトコルや再利用されたプロトコルについても説明します。 具体的には、通信しているプロトコルについての知識が限られていたり、全くなかったりした場合にもインテリジェンスな値を導き出す方法について説明します。

最後に、よくある間違いからフォレンジック担当者が、その進捗状況を攻撃者へどのように提供してしまうかについて説明します。このことは、攻撃者が戦術を変更したり、調査者を混乱させたり、それまでの全ての成果を消し去ることさえ起こしかねません。調査の実施や侵害された環境におけるベストプラクティスと、関連したリスクを軽減するために苦労して得た情報を共有する方法について説明します。

演習

  • SSL/TLSプロファイリング
  • 文書化されていないプロトコルの機能
  • ミニ総合調査

トピック

  • エンコーディング、暗号化とSSL
    • エンコーディングアルゴリズム
    • 暗号化アルゴリズム
      • 対称
      • 非対称
    • ネゴシエーションフィールドを用いたSSL接続のプロファイリング
    • 分析的緩和
    • Perfect forward secrecy(PFS)
  • 中間者攻撃(MITM)
    • 悪意のある使用とその成果物
    • 善意の使用とそれに伴う制限
    • 一般的な MITM ツール
  • ネットワーク プロトコル リバース エンジニアリング
    • 既知のプロトコルフィールドによる未知の潜在的なプロトコルの分析
    • 一般的な符号化アルゴリズムのパターン認識
    • 未知のバイナリプロトコルへの対応
    • プロトコルを解読した後にすべきこと
  • OPSECの分析とスレットインテリジェンス
    • 運用上のセキュリティ
      • 基本的な解析による攻撃者の判明
      • 品質を損なうことなくリスクを軽減する方法
    • インテリジェンス
      • スマートに共有する計画
      • 情報の保護によるリスクの軽減

ネットワークフォレンジックス キャップストーンチャレンジ

概要

このセクションでは、この1週間で学んだことをすべて組み合わせた演習を実施します。グループに分かれ、熟練攻撃者による現実世界の不正アクセスからネットワークエビデンスを調べていただきます。 各グループは、独立してデータを分析し、仮説を立て、発展させ、結果を提示してください。 エンドポイントシステムからのエビデンスは利用できません。ネットワークとそのインフラストラクチャだけが使用可能です。

プレゼンテーションを通して、受講生によるネットワークエビデンスの理解と、仮説をサポートし明確化する能力をテストします。 オーディエンスにはシニアレベルの意思決定者が含まれるため、すべてのプレゼンテーションには、エグゼクティブサマリーと詳細な技術点が含まれていなければなりません。 時間が許せば、繰り返しの侵入の防止、検出、軽減をするための推奨手順も含めてください。

演習

  • キャップストーンラボ

演習

  • ネットワークフォレンジックケース
    • ネットワークベースのエビデンスのみを使用した解析
      • 高度な攻撃者の侵入元特定
      • 侵害された環境から攻撃活動を特定
      • 攻撃者に盗まれたデータの確認
    • 報告
      • 最後にエグゼクティブサマリーを発表
      • 調査結果の文書化と低レベルレイヤーでのバックアップの提供
      • 攻撃者の活動タイムラインの作成

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。