FOR500 は、Microsoft Windowsフォレンジックの包括的な知識を習得し、フォレンジックデータの回収、分析、認証、ネットワーク上のユーザーアクティビティの追跡、インシデント対応、内部調査、知的財産の侵害調査、民事または刑事訴訟で使用する調査結果の整理方法提供します。この知識を使用して、セキュリティツールの検証、脆弱性評価の強化、内部脅威の特定、ハッカーの追跡、セキュリティポリシーの改善を行います。詳細で現実的な演習を通じて、すべての調査員がフォレンジックケースを解決するために段階的に使用すべきツールとテクニックを学びます。Windows 11までのすべてのWindowsバージョンをカバーするように新しく更新されました。また、デジタルフォレンジックコミュニティで最も評価されている資格の1つであるGCFE認定(GIAC認定Forensic Examiner)を取得するための基礎コースでもあります。
Windows フォレンジックマスター - 「未知のものを守ることはできない」
FOR500: Windows フォレンジック分析が更新されました。
更新により、フォレンジック調査における幅広いアーティファクト調査能力が向上します。多くのハンズオンラボが改善され、新しいラボが2つ追加されました。最新のアップデートツールを利用するには、多くのラボのアップデートが必要でした。そして新しいコースの仮想マシンは、業務に利用できる最適なツールの最新バージョンが組み込まれるよう更新されました。新しいメールラボでは、アップグレードされたコース教材などを実践します。このアップデートにより、この分野に参入する方でも、GCFE認定の準備をする方でも、最新のツールとテクニックを活用できるようになります。アップデートの詳細は、こちらをご覧ください。
あらゆる組織で、コンピューターシステムや企業ネットワーク内で発生するサイバー犯罪に備える必要があります。詐欺、内部の脅威、産業スパイ活動、従業員の誤用、コンピューター侵入などの犯罪を調査できるアナリストに対する需要はかつてないほど高まっています。企業、政府機関、法執行機関は、調査を行い、Windowsシステムから重要な情報を回収し、最終的に犯罪の根本原因を突き止めるために、訓練を受けたフォレンジック専門家をますます必要としています。こうした問題の解決を支援するために、SANSは、コンピューターシステムで何が起こったのかを秒単位でつなぎ合わせることができる、世界最高のデジタルフォレンジック専門家、インシデント対応者、メディア活用の専門家などの新たな人材を訓練しています。
FOR500: Windowsフォレンジック分析は、Microsoft Windowsオペレーティングシステムについてのデジタルフォレンジック知識を深めることに重点を置いています。知らないものを保護することはできず、フォレンジック機能と利用可能なアーティファクトを理解することは、情報セキュリティの中核となる要素です。Windowsシステム上のフォレンジックデータを回収、分析、認証する方法、ネットワーク上の個々のユーザーアクティビティを追跡する方法、インシデント対応、内部調査、知的財産の侵害調査、民事または刑事訴訟で使用するために調査結果を整理する方法を学習します。セキュリティツールの検証、脆弱性評価の強化、内部脅威の特定、ハッカーの追跡、セキュリティポリシーの改善が可能になります。Windowsは、あなたが気付いているかにかかわらず、あなたとあなたのユーザーに関する信じられないほどの膨大な量のデータを密かに記録しています。FOR500では、この膨大なデータをマイニングし、それを活用する方法を学びます。
適切な分析には、受講者が検証できる実際のデータが必要です。この継続的に更新されるコースでは、Microsoft Windowsバージョン10、および11、OfficeおよびMicrosoft 365、Google Workspace (G Suite)、クラウドストレージプロバイダー、Microsoft Teams、SharePoint、Exchange、Outlookなどの最新テクノロジーで発見されたエビデンスを組み込んだ一連の実践的なラボを通じて、デジタルフォレンジックアナリストを育成します。受講者は、最新のツールとテクニックを身につけ、遭遇する可能性のある最も複雑なシステムでも調査できる準備を整えてコースを修了します。受講者は、従来の Windows 7 システムから、発見されたばかりの Windows 11 アーティファクトまで、あらゆるものを分析する方法を学びます。
FOR500は、6 か月以上をかけて行われる知的財産の侵害や企業スパイについてから始まります。あなたが現実世界で働いているからこそ、トレーニングにも実践的データを取り入れる必要があります。インストラクターコース開発チームは、彼ら自身の調査や経験から得られたインシデントを活用して、受講生が実際の調査を体感できるように設計された非常に豊かで詳細なシナリオを作成しました。サンプルケースでは、調査員が企業内のWindowsシステムを分析する際に遭遇する可能性のある最新のアーティファクトとテクノロジーを紹介しています。詳細なワークブックでは、すべての調査員がフォレンジックケースを解決するために段階的に使用するべきツールとテクニックを紹介しています。提供されるツールは、受講修了後も長期間使用できる完全なフォレンジックラボを形成します。
これは分析に焦点を当てたコースであることに注意してください。FOR500は、証拠の取り扱い方、「chain of custody(管理の連鎖)」の仕組み、ドライブの取得手順といった基礎的な内容は網羅されていません。コースの著者は、最新のアーティファクトや技術を常に把握できるように、FOR500を積極的に更新しています。このコースは、あらゆるインシデントに対応するため、Microsoft Windowsオペレーティングシステムのフォレンジックと分析を詳細かつ最新のものにしたい方に最適です。過去3年以上Windowsフォレンジック分析スキルを更新していない方は、このコースが不可欠です。
FOR500: Windowsフォレンジック分析の受講生は、実践的な演習と実際のケーススタディを通じて、実践的な経験を積み、以下のスキルを習得します。
- Windows 7、Windows 8/8.1、Windows 10、Windows 11、および Windows Server 製品に焦点を当てた査読済みの手法を適用して、詳細な Windows フォレンジック分析を実行します。
- 最先端のフォレンジックツールと分析方法を使用して、誰がどのようにアーティファクトをシステムに配置したか、プログラムの実行、ファイル/フォルダを開く、地理位置情報、ブラウザ履歴、プロファイルUSBデバイスの使用状況、クラウドストレージの使用状況など、Windowsシステム上で実行したほぼすべての疑わしいアクションを詳細に説明します。
- 「高速フォレンジック」を実行してシステムを迅速に評価およびトリアージし、迅速な回答を提供し、情報に基づいたビジネス上の意思決定を促進します。
- レジストリとWindowsアーティファクト分析を通じて、特定のユーザーが最後にプログラムを実行した正確な時刻を明らかにし、知的財産の侵害、ハッカーによるシステム侵害、従来の犯罪などのケースで、この情報を使用して意図を証明する方法を理解します。
- ブラウザーフォレンジック、ショートカットファイル分析 (LNK)、電子メール分析、および Windowsレジストリ解析を通じて、疑わしい者がファイルを開いた回数を特定します。
- ユーザーによるファイルのアクティビティと削除を明らかにするためにUSNジャーナルについて学びます。
- 詳細なユーザーアクティビティ、削除されたファイルの特定、データ流出の兆候、さらにはクラウドでのみ利用可能なファイルの詳細情報やハッシュ値の発見など、クラウドストレージの使用状況を監査します。
- Windowsシステム上で特定のユーザーが検索したアイテムを特定し、疑わしき者が探したデータや情報を特定し、詳細な被害評価を行います。
- Windows ShellBag分析ツールを使用して、ユーザーまたは攻撃者がローカルドライブ、リムーバブルドライブ、ネットワークドライブにアクセスするときに操作したすべてのフォルダーとディレクトリを明確にします。
- レジストリハイブやイベントログファイルなどのWindowsアーティファクトを解析して、Windowsシステムに特定のUSBデバイスが接続された時間、そのデバイスでアクセスされたファイルとフォルダー、およびどのユーザーが接続したかを特定します。
- イベントログ分析手法を学び、それらを使用して、リモートセッション経由、キーボード入力、またはスクリーンセーバーのロックを解除など、ユーザーがいつ、どのようにWindowsシステムにログインしたかを特定します。
- Windows Searchデータベースをマイニングして、ローカルドライブ、リムーバブルメディア、Microsoft Outlook、OneNote、SharePoint、OneDrive などのアプリケーションから、膨大なファイルメタデータやファイルコンテンツを発見します。
- レジストリデータを使用して犯罪が行われた場所を特定し、接続されたネットワークと無線アクセスポイントを調べることでシステムの地理位置情報を特定します。
- ブラウザーフォレンジックツールを使用して、詳細なWebブラウザー分析を実行し、SQLite、LevelDB、ESEデータベースを解析し、メモリフォレンジックとセッションリカバリアーティファクトを活用して、プライバシークリーナーやプライベートブラウジングソフトウェアが使用されている場合でも、Webアクティビティを識別します。
- Electron、WebView2アプリケーション、LevelDBデータベースを解析し、あらゆるチャットクライアントを含む数百のサードパーティアプリケーションの調査を可能になります。
- 個人がシステムをどのように使用したか、誰と通信したか、ダウンロード、変更、削除されたファイルを具体的に特定します。
FOR500 Windows フォレンジック分析コースのトピック
- 最新のMicrosoft Windowsアーティファクト、ツール、およびテクニックを含むようコースを更新
- Windowsオペレーティングシステムの焦点: Windows 7、Windows 8/8.1、Windows 10、Windows 11、Server 2008/2012/2016/2019/2022
- Windowsファイルシステム (NTFS、FAT、exFAT)
- NTFSマスターファイルテーブル
- NTFS代替データストリーム
- NTFS USNジャーナル分析
- ライブおよび揮発性証拠取得ツールとテクニック
- レジストリフォレンジック
- シェルアイテムフォレンジック
- ショートカットファイル(LNK) - ファイルオープンの証拠
- ShellBags - フォルダーを開いた証拠
- ジャンプリスト - ファイルのオープンとプログラム実行の証拠
- Windowsアーティファクト分析
- ブラウザとWebメールの分析
- Microsoft Officeドキュメント分析
- システム・リソース使用状況データベース
- Windows Searchインデックスフォレンジック
- Windowsごみ箱の分析
- ファイルと画像のメタデータの追跡と調査
- Windows10および11の新機能を含む、多数のアプリケーション実行アーティファクト
- ユニバーサルWindowsプラットフォームとElectron/WebView2アプリケーション
- クラウドストレージファイルとメタデータの調査
- OneDrive と OneDrive for Business、Dropbox、Google Drive、iCloud
- 電子メールフォレンジック(ホスト、サーバー、Web)、Microsoft 365 および Google Workspace (G Suite) を含む)
- Microsoft統合監査ログ
- イベントログ分析
- Chrome、Edge、Internet Explorer、Firefoxブラウザのフォレンジック
- Electronフレームワークに基づくMicrosoft TeamsやSkypeなどのチャットクライアント
- ChatGPTを含むWindowサードパーティ製アプリケーション
- Microsoft 365 SharePoint、OneDrive、Teams、メール
- Google Workspace(G Suite)のアプリケーションとログ記録
- 削除されたレジストリキーとファイルの復元
- レジストリおよびESE Database .logファイルから失われたデータの回復
- データ復元、文字列検索、ファイル切り出し
- Windows 7からWindows 11までの事例調査
- メディア分析と活用
- Windowsデバイス (電子メール、チャット、Web メール) を使用したユーザー通信の追跡
- リムーバブルデバイスに転送されたファイル、またはリムーバブルデバイス上に存在するファイルの特定
- 疑わしい者がプログラムを実行した正確な時間と回数の特定
- 疑わしい者がファイルを最初に開いた時間と最後に開いた時間を表示
- アプリケーションの実行時間と送受信されたネットワークデータ量の証明
- 疑わしい者が特定のファイルに関する知識を持っていたかの特定
- システムの正確な物理的場所の表示
- リムーバブルメディアおよびUSBマスストレージクラスデバイスの追跡と分析
- Bluetooth、オーディオデバイス、プリンターの追跡と分析
- 疑わしい者がコンソール、RDP、またはネットワークを介してマシンにログオンした方法の表示
- プライベートブラウジングモードからのものを含むブラウザのアーティファクトを復元・調査
- さまざまなチャットクライアントからチャットメッセージを抽出
- サーバー、クラウドインスタンス、およびローカルアーカイブ、Windows Searchデータベースなどのエンドポイントの残留物から電子メールを復元
- ファイルの消去、時間操作、アプリケーションの削除などのアンチフォレンジックの使用の検出
