ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 501

Advanced Security Essentials - Enterprise Defender

※本コースは中止となりました。次回開催をお待ちください。

Cyber Defense Essentials

English
日程

2024年1月22日(月)~1月27日(土)

期間
6日間
講義時間

1日目:9:00-19:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCED
講師
Dave Shackleford|デイブ シャックルフォード
SANSシニアインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
38 Points
受講料

【早割価格】1,220,000 円(税込み:1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
【通常価格】1,350,000 円(税込み:1,485,000 円)

申込締切日
【早割価格】2023年12月27日(水)
【通常価格】2024年1月12日(金)
オプション
  • GIAC試験 価格:160,000 円(税込 176,000 円)
  • OnDemand 価格:160,000 円(税込 176,000 円)
  • NetWars Continuous 価格:270,000 円(税込 297,000 円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC501 PC設定詳細

重要:以下の手順に従って設定されたPCを各自用意してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANS はあなたのシステムやデータについて責任を負いません。
ノートパソコンのハードウェア要件
  • CPU 64 ビット Intel i5/i7 (第 8 世代以降)、または AMD と同等のもの。このクラスでは、64ビット、2.0GHz以上のプロセッサが必須。
  • 重要: M1/M2プロセッサーを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースでは使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、必ずアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 125GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
ノートパソコンのホストOS要件とソフトウェア要件
  • ホスト OS は Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンであること。
  • 授業前にホスト OS を完全にアップデートし、適切なドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、講義ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは必ず必要です。)受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、コースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限が必要です。
  • VMware Workstation Pro 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+(Windows11ホスト用)、またはVMWare Fusion Pro 12.2+(macOSホスト用)を授業開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトでトライアルに登録すると、VMwareから期間限定のシリアル番号が送付されます。このコースでは、VMwareソフトウェアの「Pro」バージョンが必要です。Player」バージョンでは十分ではありません。
  • Windowsホスト上では、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、および Credential Guard を無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。
コースメディアや印刷物(PDF)は、ダウンロードする必要があります。コースメディアイメージは20GBのサイズがありますので、ダウンロードが完了するまでには十分な時間が必要です。インターネットの接続環境や速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安を示すことはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。授業の初日までに、コースメディアからVMをインストールする必要があります。授業開始の前日の夜までダウンロードを待っていると、失敗する可能性が高くなりますのでお早目にご対応ください。
コース教材には「セットアップ手順」が含まれており、ライブ・クラス・イベントへの参加やオンライン・クラスの開始前に行うべき重要な手順が詳しく説明されています。この手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースラボの作業中に授業資料を見やすくするために役立ちます。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

SEC501 コース概要

サイバーのリスキルとスキルアップは、規模の大小を問わず、企業にとって重大な関心事である。技術者は、複数の分野で幅広い知識と一定の基本的なスキルを身に付けていなければならない。インフォメーション・テクノロジーやDevOpsにまで拡大しつつあるセキュリティ・チームの各メンバーは、コーディング、構築、配備されるシステム、ソフトウェア、インフラが攻撃に強いことを確実にするための準備をしなければならない。チームメンバーは、敵対者を特定するために必要な知識を持たなければならない。そのためには、敵対者の戦術、テクニック、手順に関する知識と、企業内での敵対者の活動を明らかにする実世界のツールに精通している必要がある。敵対者の横の動きを制御し、侵入範囲を制限することで、ミッションクリティカルな企業データの漏洩、改ざん、破壊のリスクを最小限に抑えることができます。敵対者の根絶、侵害されたシステムの修復、失われた資産の回復には、総力を挙げて取り組むことが重要です。防ぐ。検知する。対応する。
敵の継続的な活動は、その規模を拡大し、頻繁な攻撃を引き起こし、必然的に侵害され、データの損失や漏えいにつながることが多くなっています。企業は、必要に応じてCERT/CSIRT活動に有意義に貢献できるよう、十分に準備されたクロストレーニングの専門家を持たなければならない。サイバーキャリアの道を模索し、最先端のツールを使った実践的な経験を求めている経験豊富な技術者は、SEC501: Advanced Security Essentials-Enterprise Defenderで必要なものを見つけることができるでしょう。このコースは、企業の防御に日々使用されるツールやテクニックについて、サイバーセキュリティの下位分野にわたるトレーニングを提供する唯一のSANSコースです。全日コースのトピックは、ネットワーク・アーキテクチャの防御、侵入テスト、セキュリティ・オペレーション、DFIR/CERT/CSIRT、マルウェア解析をカバーしています。クラス内で実施される25のラボでは、これらの各分野で実際に使用されているツール(Ciscoルーター、Covenant、Metasploit、Nessus、Nmap、Procmon、Snort、SOF-ELK、TShark、Wiresharkなど)を使用した実習が行われ、デモンストレーションが行われます:

  • アクティブ・ディフェンス
  • ネットワーク・デバイス(および防御)に対する攻撃
  • デジタルアーチファクトの収集
  • フォレンジック・データ復元
  • マルウェアのインタラクティブな挙動分析
  • 侵入検知とSnortシグネチャの作成
  • ログの集約と相関
  • 手動コード逆引き
  • ネットワーク・フォレンジック
  • ネットワークスキャンと列挙
  • パケットおよびプロトコル解析
  • パスワードクラッキング
  • スーパータイムライン分析
  • システム搾取と搾取後のピボッティング
  • 脆弱性評価
  • ウェブアプリケーションのスキャンと攻撃

など。

SEC501:Advanced Security Essentials-Enterprise Defenderでは、以下のことを学びます。

ランサムウェアがどのように動作し、機能するために何が必要なのか、その秘密に迫り、ランサムウェアの要求を満たしたと思わせることによって、ランサムウェアを打ち負かすために必要なデータを見つけます。
認証、冗長性、ルーティング・プロトコル、暗号化された認証情報を侵害することで、ネットワーク・デバイスに対するリアルタイムの攻撃を開始します。
システムを発見し、侵害し、アカウントを列挙し、認証情報を盗み出し、敵が行うのとまったく同じように悪用ツールとフレームワークを使用して、ターゲット・ネットワーク上の他のシステムを発見し、特定し、攻撃し、侵害し、ピボットします。
スニッファ、スキャナ、プロキシを使用して脆弱性を検出し、攻撃が開始される前にシステムの弱点を修正する機会を提供します。
脅威インテリジェンスを直接利用し、ネットワークからキャプチャしたパケットから攻撃の兆候を特定し、ネットワーク侵入検知システムの新しいルールを作成してテストします。

本講座受講にあたっての前提
必須ではありませんが、受講生はSANSのSEC401:Security Essentials Bootcamp Styleを受講しているか、同程度のスキルを持っていることをお勧めします。具体的には、ネットワーク、プロトコル及びオペレーティングシステムについて詳細に理解していることです。

受講対象者

  • サイバーセキュリティの再教育やスキルアップを求める経験豊富な技術者
  • サイバーセキュリティの複数の下位分野にわたる幅広い経験を必要とするCERT/CSIRTメンバー
  • 情報セキュリティ、情報技術、ソフトウェア工学などの技術分野で経験を積み、SANSの「SEC401: Security Essentials」で紹介されている基本的な知識に精通している専門家: ネットワーク、エンドポイント、クラウドの各コースを受講し、高度なトレーニングや業界ツールの実習を希望する方
  • パケット、ログ、アラート以外の高度な知識を求めるセキュリティオペレーションセンターのエンジニアやアナリスト
  • セキュリティの 1 つまたは 2 つの側面だけでなく、すべての側面を担当する企業で働き、さまざまな分野の知識と専門性を高めたいと考えている、万能で複数の帽子をかぶったセキュリティ専門家
  • 包括的なセキュリティソリューションの実装に関する技術的な深い知識を求める人。

※SEC501は、GIAC(GCED)認定試験対象コースです

GIAC Certified Enterprise Defender(GCED)

GIAC Certified Enterprise Defender(GCED)認定資格は、GIAC Security Essentials認定資格で測定されるセキュリティスキルを基礎としています。エンタープライズ環境を防御し、組織全体を保護するために必要な、より高度な技術的スキルを評価します。GCED認定者は、防御ネットワークインフラ、パケット分析、侵入テスト、インシデント処理、マルウェア駆除の分野で有効な知識と能力を有しています。

  • ネットワークおよびクラウドベースの防御インフラストラクチャ
  • 侵入テスト、デジタルフォレンジック、インシデント対応
  • ネットワークモニタリング、フォレンジック、ロギング
  • パケット分析、侵入分析、マルウェア分析

講義内容の一例

SEC501は、以下の方法を示す25のラボを備えています。

  • ルーター・コンフィギュレーションの監査、それらに対する成功した攻撃の開始、同じ攻撃に耐えるためのデバイスのハードニング、および攻撃を検出してアラートを生成するためのアクティブ防御ツールの使用により、防御可能なネットワーク・アーキテクチャを構築する。
  • さまざまなスニッファーやプロトコルアナライザーを使用してトラフィックの詳細な分析を実行し、検出システムの新しいルールを作成してテストすることで攻撃検出を自動化する
  • 複数のテクノロジーを使用して、ネットワーク・パケット内の攻撃や異常を特定し、追跡する
  • SIEMを使用して複数システムのアクティビティを可視化および相関させ、データ侵害を特定および検証する
  • 脆弱性スキャンやネットワーク・ディスカバリーなどの様々なツールを使用して、システムやウェブ・アプリケーションの既知の脆弱性を評価し、侵入テストのフレームワークやツールセットを使用して脆弱性を悪用する。
  • デジタル・フォレンジック技術を使用して、デジタル・アーティファクトを収集し、削除されたデータを復元し、これらのアーティファクトから作成されたスーパー・タイムラインを分析して、最初の侵害のベクトルを特定する。
  • ネットワーク・フォレンジック分析を適用してランサムウェアの発生を封じ込め、マルウェアをダウンロードしただけのシステムとマルウェアを実行したシステムを区別する。
  • ランサムウェアのようなマルウェアの発見、特定、分析、クリーンアップを、実行中のマルウェアのモニタリングや、その秘密を発見するための手作業によるコードの逆変換など、さまざまな手法を用いて行う。

コース開発者より

私がサイバーセキュリティに出会ったのは、神経科学の博士課程に在籍していた1990年代初頭、研究室がサイバー攻撃を受けた翌日のことだった。研究室のUNIXワークステーションに既知の脆弱性があり、パッチをダウンロードしてインストールしなければならないことを知ったのはその時だった。まったくの独学で、カーネルにパッチを当てて再構築し、Tripwire、SATAN、TCP Wrappersなどのツールをコンパイル、デプロイ、設定、使用することを学んだ。その後、フルタイムの企業管理者として、スイッチ、ルーター、ファイアウォール、RSA SecurID、IPSec VPN、プロキシゲートウェイ、Windowsエンドポイントの強化、Active Directoryの監査とセキュリティグループの動的な作成の自動化、Nexposeの管理、IPTablesの扱いについて学んだ。私自身、多方面にわたる技術的なバックグラウンドがあるため、SEC501の主執筆者として特に熱意をもって取り組んでいます。このコースは、私自身の何でも屋としての経験を反映したものであり、その興奮を皆さんと分かち合う絶好の機会です!
- Ross Bergman

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ディフェンシブネットワークアーキテクチャ

ネットワーク・デバイスの適切な設計とコンフィギュレーションは、コンフィギュレーションされたコンポーネントと、そのデバイスに依存し、他のコンポーネントを攻撃から守る企業の残りの部分の両方を保護します。言い換えれば、良い家には良い基礎が必要です!

次に、公開されているベンチマークやさまざまな製品を保護するためのベンダーガイダンス、規制要件、特定の攻撃に対してインフラストラクチャを防御する際の影響について説明します。これらのポイントを説明するにあたり、さまざまなデバイスやネットワークベースの攻撃からルータインフラストラクチャを保護、防御する方法について詳しく説明します。

 また、一般的な攻撃に対するプライベートおよびパブリッククラウドのインフラストラクチャの保護についても説明します。

演習

  • ルーターの初期設定と監査
  • AAAのセキュリティ
  • 冗長化プロトコルのセキュリティ
  • 防御におけるログ基盤
  • ルーティング・プロトコルの防御
  • ルーターの最終的な強化手順/監査

トピック

  • セキュリティスタンダードと監査
  • Authentication(認証)Authorization(認可)、Accounting(アカウンティング)
  • ネットワークインフラの防御
  • 侵入防止システムとファイアウォール
  • 名前解決攻撃と防御
  • プライベートおよびパブリック・クラウド・インフラストラクチャの保護

ペネトレーションテスト

セキュリティとは、組織の重要資産に対するリスクを理解し、軽減させ、管理することです。組織は変化する脅威の状況を理解し、環境を侵害するために悪用できる自身の脆弱性を対比する能力を持つ必要があります。2日目には、ネットワークサービス、オペレーティングシステム及びアプリケーションのセキュリティに関する姿勢をよりよく理解するために、組織に対して行えるさまざまなテストと効果的なペネトレーションテストの方法について紹介します。さらに、ソーシャル・エンジニアリングとオープンソース・インテリジェンス活動についてもお話しし、ユーザーに対してますます蔓延している脅威をよりよく模倣していきます。

基本的な脆弱性を見つけることは簡単ですが、攻撃者がシステムに侵入する際に悪用する脆弱性でなければ、必ずしも効果的とは言えません。高度なペネトレーションテストのためには、ネットワーク上のさまざまなシステムとアプリケーションを理解し、攻撃者がどのようにして侵害できるのか把握する必要があります。受講生は、現実世界の攻撃者のような環境を通じて、テストプロジェクトのスコープや計画の策定、外部と内部のネットワークペネトレーションテスト、ウェブアプリケーションテストについて学習します。

ペネトレーションテストは、組織の情報流出のポイントを特定するために重要ですが、組織全体に渡りセキュリティを高めるために、脆弱性の優先順位付けと修正方法についても学習します。

演習

  • ネットワークスキャンの基礎知識
  • Nessusによるスキャン
  • エクスプロイトとMetasploitの基礎
  • ポストエクスプロイトとピボット
  • 基本的なウェブアプリのスキャンと攻撃

トピック

  • ペネトレーションテストのスコープとエンゲージメントのルール
  • オープンソースインテリジェンス
  • ソーシャルエンジニアリング
  • ネットワークマッピングとスキャンの手法
  • 企業用途の脆弱性スキャン
  • ネットワークエクスプロイトツールとその技術
  • Post-Exploitationとピボット
  • Webアプリケーションエクスプロイトツールとその技術
  • レポートとデブリーフィング

セキュリティオペレーションの基礎

トラフィック分析と侵入検知は、多くの組織で個々の規律として扱われてきました。今日では、予防、検出、対応は緊密である必要があり、攻撃が検出されると防衛措置が開始され、積極的なフォレンジックが実施されることにより、組織が継続的に運用できることとなります。このコースのセクションでは、ネットワークセキュリティの監視について紹介した後、セキュリティ専門家として特定すべき重要なネットワークプロトコルについて説明します。TCPdumpやWiresharkといったツールを使用してパケットトレースを分析し、攻撃の目的を見つけ出します。また、様々な検知・分析ツールを使用し、ネットワーク侵入検知システムとしてのSnortを探求し、ルールシグネチャを詳細に検討します。さらに、学生はネットワークフォレンジックを実施し、SOF-ELKプラットフォームを使用して、セキュリティ情報およびイベント管理ツールの威力を実証します。

演習

  • TCPdumpを使用したPCAP分析
  • Wiresharkによる攻撃の分析
  • Snortの基礎
  • Security Onionによる悪意ある行動の検知

  • SOF-ELKによるセキュリティ・アナリティクスの基礎

トピック

  • ネットワークセキュリティの監視
  • 高度なパケット分析
  • ネットワーク侵入検知・防止
  • 検知用シグネチャの作成
  • ネットワークフォレンジックとその他
  • イベント管理入門
  • 継続的なモニタリング
  • ロギングとイベントの収集と分析
  • SIEMとアナリティクス

デジタルフォレンジックとインシデントレスポンス

企業は、CERT/CSIRT を利用して、ネットワークから悪を発見し、範囲を特定し、封じ込め、根絶する。インシデント調査者は、何が起こったかを判断するために DFIR の手法を採用する: DFIR チームは、侵害の証拠を見つけ、環境を修復し、検知を継続的に改善するために運用チームにローカル脅威インテリジェンスを生成するためのデータを提供するために調査を実施します。従来、インシデントレスポンスは有限のプロセスと見なされてきたが、現在ではDFIRの専門家が既存の証拠に新たな脅威インテリジェンスを適用することで、検知されずに環境に存在していた攻撃者の証拠を探し出す、継続的なプロセスと見なされている。これが、"脅威ハンティング "と呼ばれる概念の核心である。

本セクションでは、まずアクティブ・ディフェンスのアプローチについて詳しく説明し、次にDFIRの中核となるコンセプトを紹介する。インシデント発生中に何が起こったかについて、フォレンジック調査官に具体的な洞察を与えることができる何百もの成果物のいくつかを探求する。受講生は、攻撃者が作戦を遂行するために使用するダイナミックな手順に対処するために、何年もかけて進化してきたインシデントレスポンスが現在どのように運用されているかを学ぶ。また、DFIRの実践を継続的なセキュリティ運用プログラムに統合する方法についても検討します。次に、周期的な6段階のインシデント対応プロセスを示す。各ステップは、その適用方法の実践例を含めて詳細に検討される。最後に、与えられた環境内の不審な活動の程度を判断するために最もよく使用できる成果物と、企業レベルの分析のために大規模なデータセットに技術を移行する方法について学びます。

演習

  • アクティブディフェンス:ハニーポット
  • FTK imagerとPhotorecによるデータ回復
  • アーティファクトの発見
  • ランサムウェアのタイムライン分析
  • ランサムウェアのネットワーク分析

トピック

  • アクティブディフェンス
  •  DFIRコアコンセプト:デジタルフォレンジック
  • DFIRコアコンセプト:インシデントレスポンス
  • 最新のデジタル・フォレンジックとインシデントレスポンス
  • ネットの拡大:スケーリングとスコーピング

マルウェア分析

多くの組織では、悪意あるソフトウェアはインシデントとして取り扱われる必要があります。マルウェアの種類は、ランサムウェアやルートキットから、仮想通貨のマイニングやワームに至るまで、多岐に渡ります。最も一般的な種類のマルウェアを定義した後、複数の事例を紹介します。完全自動分析、静的プロパティ分析、対話型行動分析、手動によるコードリバースエンジニアリングの4つの主要なフェーズのマルウェア分析について説明します。静的分析からコード分析まで、実績のあるランサムウェア検体を用いて詳細に調査するラボを行います。リバースエンジニアリングにより鍵を抽出することで、ランサムウェアで暗号化されたファイルを復号するだけでなく、動的分析技術を通してマルウェアを欺く実践的なハンズオンをも体験することができます。これらの目標を達成するプロセスが実行でき、消化できるようになるために、すべての段階は明確に定義、かつテストされています。

演習

  • ランサムウェアの静的プロパティ分析
  • ランサムウェアの対話型行動分析 - Part1
  • ランサムウェアの対話型行動分析 - Part2
  • ランサムウェアの手動によるコードリバース

トピック

  • マルウェア分析の概要
  • マルウェア解析のステージ:完全自動化と静的特性解析
  • マルウェア解析のステージ:インタラクティブな動作解析

  • マルウェアの解析段階:マニュアルコードリバース

エンタープライズディフェンダーキャップストーン

コースの最終セクションは、チームで働くこと、コース全体を通して学んだスキルを使用すること、既存の枠に捕らわれずに考えること、単純なものから複雑なものまでさまざまな問題を解決することによって、受講生にとっての現実世界の課題になることでしょう。WebサーバのスコアリングシステムとCTF(Capture-the-Flag)エンジンにより、受講生のフラグの提出や得点が記録されます。より困難な課題は、多くのポイントを得ることができるでしょう。このディフェンシブ演習は、パケット分析、ルーティングプロトコル、スキャン、マルウェア分析、その他、コース教材に関連する様々な課題が含まれています。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ