ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 572

Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response

Digital Forensics and Incident Response

English
日程

2026年1月26日(月)~2026年1月31日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GNFA
講師
Joshua Lemon|ジョシュア レモン
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2025年12月12日(金)
通常価格:2026年1月16日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand 価格:149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR572 PC設定詳細

重要:次の手順に沿って設定されたノートPCをご準備ください。

コースの全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく講義を受けることができない可能性が高いです。そのため、次の条件をすべて満たすシステムを用意することを強くお勧めします。

コースの開始前にはシステムのバックアップを必ずおこなってください。また、機密データ/重要なデータはシステムに保存しないでください。SANSでは受講者のシステムやデータに責任を負うことができません。

FOR572 システムハードウェアの必須要件

  • CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64ビット、2.0GHz 以上のプロセッサが必須です。
  • 重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。
  • 350GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアではUSBデバイスの使用を禁止しているため、受講前に USBドライブを使用してシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

FOR572 ホストの設定とソフトウェアの必須要件

  • ホストオペレーティングシステムは、Windows 10Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  • 受講前にホストオペレーティングシステムを更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、会場ではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材やVMと連携するようにLinuxを構成するのは受講者の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。コースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 出力トラフィックのフィルタリングにより、コースのラボを完了できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限を持っている必要があります。
  • Microsoft Office(任意のバージョン) またはOpenOfficeがホストにインストールされている必要があります。Office 試用版ソフトウェアはオンラインでダウンロードできます。(30日間無料)
  • 講座開始前に、VMware Workstation Pro 16.2.X以降 または VMware Player 16.2.X以降 (Windows 10 ホストの場合)VMware Workstation Pro 17.0.0以降 または VMware Player 17.0.0以降 (Windows 11 ホストの場合)、または VMWare Fusion Pro 12.2以降 または VMware Fusion Player 11.5以降 (macOS ホストの場合) をダウンロードしてインストールしてください。VMware Workstation Proまたは VMware Fusion Proのライセンスをお持ちでない場合は、VMware から30日間の無料トライアルをダウンロードしてください。VMware Webサイトでトライアルに登録すると、期間限定のシリアル番号が送信されます。また、VMware Workstation Playerが提供する機能は VMware Workstation Proよりも少ないことにも注意してください。Windowsホストシステムを使用している場合は、よりシームレスな受講者エクスペリエンスを実現するために Workstation Proをお勧めします。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合あります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディアファイルは大きくなる可能性があります。多くは4050GBの範囲にありますが、一部は100GBを超えています。ダウンロードが完了するまでに十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因に依存します。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座の初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、講座の前夜まで待たないでください。

コース資料には、ライブクラスイベントへの参加、オンラインクラスの開始前に実行する必要がある重要な手順を詳しく説明した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

コースでは、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

FOR572のコース概要

現在の調査チームは、既知の証拠と最新のインテリジェンスを使用して、他の人が見逃したインシデントを明らかにし、脅威を積極的にハンティングしています。FOR572: 高度なネットワークフォレンジック: 脅威の追跡、分析、およびインシデント対応では、調査作業においてネットワーク通信とアーティファクトに重点を置くために必要な最も重要なスキルについて説明します。このネットワークフォレンジックコースでは、効率性と有効性に重点を置き、ネットワーク上の証拠を調査に統合するために必要な調査ツール、技術、手順に関する実用的な知識を習得します。このコースを修了すると、充実したツールボックスと、職場復帰初日から活用できる知識が得られます。
システムベースのフォレンジック知識をネットワークに活かしましょう。ネットワークの証拠を調査に組み込み、より優れた調査結果を提供し、作業をより迅速に完了させましょう。
ネットワークコンポーネントを持たないフォレンジック調査を行うことは非常にまれです。エンドポイントのフォレンジックは、DFIRの専門家にとって常に重要かつ基本的なスキルですが、ネットワーク通信を見落とすことは、犯罪が行われたときの防犯カメラの映像を無視するようなものです。侵入インシデント、データ侵害、従業員の不正使用のシナリオを扱う場合でも、積極的に攻撃者の発見することに従事する場合でも、ネットワークは多くの場合、インシデントの比類のない視点を提供します。その証拠は、意図を示したり、数か月以上活動している攻撃者を発見したり、犯罪が実際に発生したことを決定的に証明するのに役立つ可能性があります。

FOR572: Advanced Network Forensics: Threat Hunting, Analysis, and Incident Responseは、多数のユースケースを含む、現在の調査業務においてネットワーク通信とアーティファクトへの注目が高まっていることに対応するために必要な最も重要なスキルを網羅するように設計されています。多くの調査チームは、既存の証拠と新たに取得した脅威インテリジェンスを組み合わせ、これまで特定されていなかったインシデントの証拠を発見するプロアクティブな脅威ハンティングをスキルに組み込んでいます。また、インシデント後の調査と報告に重点を置くチームもあります。さらに、リアルタイムに攻撃者と関わり、被害者の環境から攻撃者を封じ込めて根絶しようとするチームもあります。このような状況などでは、攻撃者の通信から残された痕跡は、攻撃者の意図、能力、成功、失敗に関する貴重なビューを提供します。

FOR572では、過去に発生した、または現在も発生している通信を調べ、特徴付けるために必要な知識に焦点を当てています。最も熟練したリモート攻撃者が検出不可能なエクスプロイトでシステムを侵害した場合でも、システムはネットワーク経由で通信する必要があります。コマンド&コントロールとデータ抽出チャネルがなければ、侵害されたコンピュータシステムの価値はほぼゼロに低下します。別の言い方をすれば、悪質な行為者は話しているので、私たちはその声に耳を傾けることを教えます。


このコースでは、効率性と有効性に重点を置き、ネットワーク上の証拠を調査に統合するために必要な調査ツール、手法、手順について説明します。このコースを修了すると、充実したツールボックスと、仕事に復帰した初日から活用できる知識を身につけることができます。高レベルのNetFlow分析、低レベルのpcapベースの分析、補助的なネットワークログ調査など、ネットワークの証拠のあらゆる側面を網羅します。数か月または数年分の貴重な証拠が蓄積されている可能性のある既存のインフラストラクチャデバイスを活用する方法や、インシデント発生中に新しい収集プラットフォームを配置する方法について解説します。

クライアントのサイトに対応するコンサルタント、サイバー犯罪の被害者を支援し、責任者の訴追を求める法執行機関の専門家、社内フォレンジック専門家、または専任の脅威ハンターであっても、このコースでは、実際のシナリオを実践的に体験し、業務のレベルに引き上げます。ネットワーク防御者は、より多くのインシデント対応と調査の責任を引き受けるため、セキュリティ運用に関する FOR572 の視点から恩恵を受けることができます。既存のエンドポイントベースのDFIRの経験を持つ人は、既存のオペレーティングシステムまたはデバイスの知識を、日常的に発生するネットワークベースの攻撃に直接適用できます。FOR572では、ディスクやメモリイメージを使用せずに、同じレベルの現実世界の問題を解決します。

FOR572のハンズオンラボのほとんどは、FOR508、Advanced Incident Response、Threat Hunting、およびDigital Forensicsの著者と共同で開発されました。これらの共有シナリオでは、ホストとネットワークの両方のアーティファクトを含むハイブリッドなフォレンジック調査アプローチが理想的である理由がすぐにわかります。私たちは主にネットワーク側に焦点を当てていますが、ホストの視点から追加のコンテキストが得られたり、ネットワークの視点からより深い洞察を得られたりする領域についても指摘します。FOR508の元受講生も将来の受講生も、これらの広範な証拠セット間の関連性を高く評価するでしょう。

このコースのハンズオンラボでは、パケットキャプチャと分析のための定評のあるtcpdumpやWireshark、アーティファクト抽出用のNetworkMinerなど、幅広いツールとプラットフォームを網羅しています。nfdump、tcpxtract、tcpflowなどのオープンソースツールも活用します。このコースに新たに追加されたツールには、無料のオープンソースのSOF-ELK®プラットフォームが含まれます。これは、Elasticスタックで事前構成され、DFIRおよびセキュリティ運用ワークフローに合わせて調整されたVMwareアプライアンスです。この「ビッグデータ」プラットフォームには、Elasticsearchストレージおよび検索データベース、Logstashの取り込みおよび解析エンジン、およびKibanaグラフィカルダッシュボードインターフェイスが含まれています。このプラットフォームは、カスタムSOF-ELK® 構成ファイルと組み合わせると、フォレンジック担当者はログとNetFlow分析のためのすぐに使用できるプラットフォームを提供します。大規模なフルパケット分析とハンティングのために、無料のオープンソースのArkimeプラットフォームも取り上げ、ハンズオンラボで使用します。すべての講座内のラボを通じて、数十万、あるいは数百万ものデータレコードを迅速かつ簡単に分析するためのシェルスクリプトスキルに重点的に取り組みます。

FOR572は上級コースで、初日から実践的な学習をスタートします。フォレンジック技術と方法論、フルスタックのネットワーキング知識(物理媒体からユーザー向けサービスまで)、Linuxシェルユーティリティなどあらゆるスキルを身につけてください。それらのスキルはすべて、コースの教材を通して犯罪と戦う際に役立ちます。1バイトずつ事例を解き明かしていきましょう。

コースのトピック

  • パケットキャプチャアプリケーションとデータ
    • ネットワークに特化したフォレンジックプロセスに関する固有の考慮事項
    • ネットワーク上の証拠の種類とソース
    • 調査員にとってのネットワークアーキテクチャの課題と機会
    • 調査のOPSECとフットプリントに関する考慮事項
  • ネットワークプロトコル解析
    • ハイパーテキスト転送プロトコル (HTTP)
    • ドメインネームサービス(DNS)
    • ファイル転送プロトコル (FTP)
    • サーバーメッセージブロック (SMB) および関連するMicrosoftプロトコル
    • シンプルメール転送プロトコル (SMTP)
  • 市販のネットワークフォレンジックツール
  • 自動化されたツールとライブラリ
  • NetFlow
    • 概要
    • 収集アプローチ
    • オープンソースのNetFlowツール
  • ワイヤレスネットワーク
    • ワイヤレストラフィックのキャプチャ
    • ワイヤレストラフィックからの有用なフォレンジックアーティファクト
    • 一般的な攻撃方法と検出
  • ネットワーク調査を補完するログデータ
    • Syslog
    • Microsoft Windowsイベント転送
    • HTTPサーバーログ
    • ネットワークセキュリティ監視(NSM)プラットフォーム
    • ログの収集、集計、分析
    • Webプロキシサーバーの調査
  • 暗号化
    • トランスポート層セキュリティ (TLS)
    • インターセプトなしのTLSクライアントのプロファイリング
    • 中間者攻撃とTLSインターセプト
  • ディープパケットワーク
    • ネットワークプロトコルのリバースエンジニアリング
    • ペイロードの再構成

受講対象者

  • 調査範囲をエンドポイントシステムからネットワークへと拡大しているインシデント対応チームのメンバーとフォレンジ担当者
  • 新たなインテリジェンスと収集済みの証拠を組み合わせ、ネットワーク環境に既に侵入した攻撃者を積極的に追跡するハントチームのメンバー
  • ネットワークフォレンジックの専門家を目指す法執行官、連邦捜査官、刑事
  • ネットワーク環境内の攻撃者を特定しようとするハント活動をサポートするセキュリティオペレーションセンター(SOC)の担当者と情報セキュリティ担当者
  • 調査やインシデント対応のワークロードが増加しているネットワーク防御担当者
  • リスク管理、情報セキュリティへの影響の伝達、調査チームの管理のためにネットワークフォレンジックの理解を必要とする情報セキュリティ管理者
  • 調査要件を最適に満たすようにネットワークを積極的に構築しているネットワークエンジニア
  • ネットワーク調査がどのように行われるかを学びたい情報技術専門家
  • コンピュータネットワークへの侵入・調査に関心があり、コンピュータフォレンジック、情報システム、情報セキュリティに関するの確かな知識を持つ方

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

ディスクからネットワークへ

セクション1では、ネットワークフォレンジック特有の側面と、従来のデジタルフォレンジックスキルがネットワーク証拠にどのように適用されるかを紹介します。パケットキャプチャやプロキシログなどのデータ取得方法に加え、tcpdumpWiresharkなどのツールについて説明します。受講者はプロキシデータを分析し、不正に持ち出されたコンテンツを抽出し、主要なネットワークデバイスとプロトコルを調査します。

取り上げられるトピック

  • Webプロキシデータの評価
  • ネットワーク証拠の取得
  • ネットワークの課題と機会
  • ハイパーテキスト転送プロトコル (HTTP) パート 1: プロトコル

ラボ

  • tcpdumpWiresharkのハンズオン
  • プロキシログとキャッシュ分析
  • 不正に持ち出されたデータの切り分け

概要

ネットワークフォレンジックの基本的な概念の多くは、他のデジタルフォレンジック調査の概念と共通していますが、ネットワークには特別な注意が必要な多くのニュアンスがあります。このセクションでは、デジタルフォレンジックとインシデント対応について既知の知識をネットワークベースの証拠に適用する方法について説明します。また、取引の基本的なツールの使い方も習得します。

ネットワークデータは保存できますが、転送中にキャプチャまたは記録された場合に限ります。戦術的であろうと戦略的であろうと、パケットキャプチャの方法は非常に簡単です。パケットキャプチャの証拠を使用して、元の形式で有用なネットワークアーティファクトを調査しますが、長期的なフルパケットキャプチャは、ほとんどの環境ではまだ一般的ではありません。したがって、過去にネットワーク上で何が起こったかを示すアーティファクトは、ネットワーク機能を管理するデバイスから取得します。どのような種類のデバイスが貴重な証拠を取得できるか、またどのレベルの粒度で取得できるかについて学びます。ネットワーク上の証拠の最も一般的なソースの 1 つであるWebプロキシサーバーから証拠を収集する方法を説明し、プロキシから盗まれたデータを見つけて抽出する実践的な演習を行います。

トピックの詳細

  • Webプロキシデータの評価
    • Webプロキシの役割
    • プロキシソリューション - 商用およびオープンソース
    • Squidプロキシサーバー
    • 設定
    • ログ記録
    • 自動分析
    • キャッシュ抽出
  • ネットワーク証拠の取得
    • 3つの主なタイプ:フルパケットキャプチャ、ログ、NetFlow
    • キャプチャデバイス:スイッチ、タップ、ネットワークパケットブローカー、レイヤー7ソース、NetFlow
    • キャプチャ計画: 戦略、商用および自作プラットフォーム
  • ネットワークの課題と機会
    • ネットワーク環境がもたらす課題
    • ネットワークフォレンジックに影響を与える将来のトレンド
  • ハイパーテキスト転送プロトコル (HTTP) パート 1: プロトコル
    • フォレンジック的価値
    • リクエスト/レスポンスの分析
    • 有用ななHTTPフィールド
    • HTTPトラッキングCookie
    • HTTP/2HTTP/3の違い
    • アーティファクト抽出

コアプロトコルとログ集計/分析

このセクションでは、一般的なネットワークプロトコルとその異常を分析して悪意のあるアクティビティを特定する方法について説明します。フルパケットキャプチャに対するログデータの価値を重視し、スケーラブルなログ集約と分析のためのSOF-ELK®などのツールを紹介します。受講者はHTTPDNSなどのプロトコルをプロファイリングし、効率的なログ分析手法を実践します。

取り上げられるトピック

  • ハイパーテキスト転送プロトコル (HTTP) パート 2: ログ
  • ドメインネームサービス(DNS):プロトコルとログ
  • フォレンジックネットワークセキュリティ監視(NSM)
  • ログプロトコルと集約
  • Elastic StackSOF-ELK®プラットフォーム

ラボ

  • HTTPプロファイリング
  • DNSプロファイリング、異常、およびスコープ設定
  • SOF-ELK®ログ集約と解析

概要

本番ネットワーク環境で使用されている可能性のあるネットワークプロトコルは無数にあります。ここでは、フォレンジック担当者にとって典型的なケースワークで最も役立つと思われるプロトコルに加え、新規、未文書化、あるいは独自仕様のプロトコルに直面した際に有用な分析手法の実証に役立つプロトコルをいくつか紹介します。これらのプロトコルの「典型的な」動作を学習することで、悪意のある目的でのプロトコルの悪用を示唆する可能性のある異常をより容易に特定できるようになります。これらのプロトコルのアーティファクトと異常は、直接的なトラフィック分析だけでなく、そのトラフィックを制御または可視化するシステムによって作成されたログ証拠を通じてプロファイリングできます。これにより、調査員はネットワークトラフィックを分析する膨大な機会を得ることができますが、大量のソースデータを効率的に分析するには、通常拡張性を考慮して設計されたツールと方法が必要です。

調査担当者が異常な動作を特定するには、プロトコルが通常の使用でどのように機能するかを知ることが重要です。より頻繁に使用され、影響の大きいネットワーク通信プロトコルのいくつかを取り上げ、攻撃者やマルウェアの作成者によって容易に悪用される可能性がある方法に特に焦点を当てます。

一般的なネットワーク環境で使用される膨大なプロトコルのリストを網羅できるコースはありませんが、このコースでは今後遭遇するであろう新しいプロトコルを習得するための必要なスキルを身につけることができます。新しいプロトコルは毎日開発されているため、「学習方法を学ぶ」能力は非常に重要です。高度な攻撃者も独自のプロトコルを開発します。このコースの後半で説明するように、攻撃者の未公開プロトコルをうまく理解し、それに対抗することは、このセクションで紹介するプロトコルを学習するのと同様のプロセスです。

ログデータは、ネットワークフォレンジックの領域における縁の下の力持ちの1つです。フルパケットキャプチャによって得られるほぼ完璧な情報は理想的に見えますが、いくつかの欠点があります。多くの組織がまだ包括的な収集システムを導入していないか、導入できないため、利用できないことがよくあります。ネットワークキャプチャシステムを使用すると膨大な量のデータをすぐに蓄積しますが、多くの場合、効果的に処理することが困難であり、わずか数日または数週間をカバーするローリングバッファに保持する必要があります。また、ほとんどのネットワークトラフィックで暗号化の使用が増加していることは、フルパケットキャプチャを使用する際の分析に大きな障壁をもたらし、通信のターミナルポイントからのログが最も潜在的な影響を与えるアーティファクトとして残される可能性があります。

このセクションでは、エンドポイントデバイスとネットワークトランスポートデバイスの両方で使用できるさまざまなログメカニズムについて学習します。また、複数のソースからのログデータを統合して、広範な証拠の資料を 1 か所に集約する方法も学習します。ログデータの量が増えるにつれて、自動分析ツールを検討する必要性も高まります。SOF-ELK® プラットフォームを使用してインシデント発生後のログの集約と分析を行い、侵害調査に迅速かつ決定的な洞察をもたらします。

トピックの詳細

  • ハイブ、ハイパーテキスト転送プロトコル (HTTP) パート 2: ログ
    • ログの形式
    • mod_forensicの拡張ログ
    • 分析手法
  • ドメインネームサービス(DNS):プロトコルとログ
    • アーキテクチャとコア機能
    • Fast Fluxとドメイン名生成アルゴリズム (DGA)
    • ログ記録手法と形式
    • DNSの進化と適応
  • フォレンジックネットワークセキュリティ監視(NSM)
    • 侵入検知システム(IDS)からのNSMの登場
    • Zeek NSMプラットフォーム
      • プロアクティブ/ライブユースケース
      • インシデント後のDFIRのユースケース
      • 作成されたログと使用された形式
    • jq」ユーティリティを使用したJSON解析
    • Community-ID フローのハッシュ値
  • ログ記録プロトコルと集約集計
    • Syslog
      • デュアルロール:サーバーとプロトコル
      • ソースおよびコレクションプラットフォーム
      • イベントの分析
      • rsyslog の構成
    • Microsoft Windows イベント転送
      • デプロイモデルと機能
      • Windowsイベント転送
      • アーキテクチャ
      • 解析モード
    • ログデータの収集、集計、分析
      • 集約のメリット:規模、範囲、独立検証、効率性
      • 既知の弱点と軽減策
      • 包括的なログ集約プラットフォームの評価
  • Elastic StackSOF-ELK®プラットフォーム
    • Elastic Stackの基本と長所/短所
    • SOF-ELK®
      • 入力
      • ログ中心のダッシュボード
      • データ探索プラットフォームとして使用

NetFlowとファイルアクセスプロトコル

このセクションでは、最小限のストレージオーバーヘッドで攻撃者の行動を追跡し、ネットワークの異常を特定するための重要なツールとしてNetFlowについて説明します。受講生は、NetFlowデータを分析し、FTPなどのファイル転送を再構築し、ラテラルムーブメントやデータ窃取に使用されるSMBなどのWindowsプロトコルを調査します。

取り上げられるトピック

  • NetFlowの収集と分析
  • オープンソースのフローツール
  • ファイル転送プロトコル
  • Microsoftプロトコル

ラボ

  • SOF-ELK®によるビジュアルNetFlow解析
  • NetFlowによるラテラルムーブメントの追跡
  • nfcapdデータの統合と削減
  • SMBセッションの分析と再構築

概要

一般にNetFlowと呼ばれるネットワーク接続ログは、ネットワーク調査において最も重要な証拠源である可能性があります。多くの組織では、ストレージ要件が最小限であるため、フローデータの膨大なアーカイブを保有しています。NetFlowは送信の内容をキャプチャしないため、長期保存に関する多くの法的問題が軽減されます。コンテンツがなくても、NetFlowは調査を導き、攻撃前から攻撃者による活動の特徴を明らかにする優れた手段となります。被害者の環境内を移動する場合も、データ窃取の場合も、攻撃者はさまざまなファイルアクセスプロトコルを使用して被害者内部を移動する必要があります。フォレンジック担当者は、一般的なファイルアクセスおよび転送プロトコルのいくつかを知ることで、攻撃者の窃取行為をより迅速に特定できます。

従来の調査では、あいまいな写真でも貴重な手がかりとなるように、NetFlowデータはネットワークフォレンジック担当者にネットワーク通信に関する非常に価値の高い情報を提供します。その価値を引き出す鍵は、NetFlowの証拠を使用してより詳細な調査活動を推進する方法を理解することです。

また、NetFlowは、環境の典型的な動作、つまり悪意のあるアクションを示唆する可能性のあるラインを逸脱するアクションをベースライン化するのみ理想的なテクノロジーです。脅威ハンティングチームは、NetFlowを使用して、新しく特定された疑わしいエンドポイントまたはトラフィックパターンと一致する過去の接続を特定することもできます。

このセクションでは、一般的なNetFlowプロトコルの内容と、一般的な収集アーキテクチャと分析方法について学習します。また、より複雑なpcapファイルに取り込む前に、フルパケットコレクションをNetFlowレコードに抽出して迅速な初期分析を行う方法も学習します。

次に、FTPセッションから特定のファイルを再構築する方法など、ファイル転送プロトコルについて調べます。FTPはデータ窃取によく使用されますが、マルチストリームの性質により、プロトコル分析手法を改良する機会にもなります。

最後に、Microsoft WindowsまたはWindows互換環境に特有のさまざまなネットワークプロトコルについて調べます。Microsoft Windowsドメイン構造でファイル転送やその他の無数の目的に使用されるSMBプロトコルの探索に重点的に実施します。攻撃者は、被害者の環境内で「環境依存」するために、これらのプロトコルを頻繁に使用します。既存のプロトコルと予想されるプロトコルを使用することで、攻撃者は目につかない場所に潜伏し、調査員に自分の存在と行動を知らせる可能性のあるマルウェアの展開を回避できます。

トピックの詳細

  • NetFlow の収集と分析
    • 起源と進化
    • NetFlow v5および v9プロトコル
    • アーキテクチャコンポーネント
    • 暗号化されたトラフィックの調査に役立つNetFlowアーティファクト
  • オープンソースのフローツール
    • オープンソースのツールセットを使用したNetFlowデータの調査
    • nfcapdnfpcapdnfdump
    • SOF-ELK®:NetFlow の取り込みとダッシュボード
  • ファイル転送プロトコル (FTP)
    • 歴史と現在の使用状況
    • 今日のネットワークの欠点
    • キャプチャと分析
    • ファイル抽出
  • Microsoftプロトコル
    • アーキテクチャとキャプチャの位置づけ
    • Exchange/Outlook
    • サーバーメッセージブロック (SMB)

市販ツール、ワイヤレス、フルパケットハンティング

セクション4では、ネットワークフォレンジックにおける市販ツールの役割について説明し、そのスケーラビリティと調査ワークフローへの統合に重点を置き説明します。ワイヤレスネットワークフォレンジックを詳細に解説し、特有のアーティファクトと攻撃ベクトルを重点に説明します。受講者は、NetworkMinerArkimeを使用して、大規模なパケット分析とフルパケットキャプチャからのオブジェクト抽出を行います。

取り上げられるトピック

  • Simple Mail Transfer Protocol
  • NetworkMinerによるオブジェクト抽出
  • ワイヤレスネットワークフォレンジック
  • 自動化されたツールとライブラリ
  • Arkimeによるフルパケットハンティング

ラボ

  • NetworkMinerによる自動抽出
  • pcap_iterator.shによるスケーリング
  • コマンドラインツールを使用した分析
  • Arkimeを使用したネットワーク フォレンジック解析

概要

市販ツールは、ネットワークフォレンジック担当者のツールキットの重要な部分です。特定の市販ツールがもたらすメリットと、それらを調査ワークフローに最も効果的に統合する方法について説明します。ワイヤレスネットワークの急速な普及に伴い、調査担当者は、このテクノロジーがもたらす特有の課題に対処する準備もする必要があります。ただし、調査対象のプロトコルや分析に充てられる予算にかかわらず、フルパケットキャプチャを調査する手段が必要であり、これを大規模に実行するためのツールキットを用意することが重要です。

市販ツールは、フォレンジック担当者が遭遇する可能性のある状況によっては明確なメリットがある場合があります。最も一般的なメリットは、スケーラビリティです。多くのオープンソースツールは、戦術的または小規模な使用を目的として設計されています。これらのツールは、大規模な展開に使用する場合でも、特定のニッチな機能に使用する場合でも、多くの調査ニーズに即座に対応できます。

さらに、ワイヤレスネットワークのフォレンジック的な側面についても説明します。従来の有線ネットワーク調査との類似点と相違点、および無線プロトコル分野からどのような興味深いアーティファクトを回収できるかについて説明します。また、攻撃者が攻撃中にこれらの弱点をどのように悪用するか、どのように検出できるかなど、ワイヤレス導入特有の弱点についても説明します。

最後に、市販ツールがなくても、フルパケットキャプチャから大規模なハンティングを改善できる方法を見ていきます。オープンソースのArkimeプラットフォームと、それをライブワークフローやフォレンジックワークフローでどのように使用できるかを見ていきます。すぐに使用できるArkime仮想マシンを配布し、以前調査したインシデントからソースデータを読み込み、以前にキャプチャしたフルパケットデータからさらなる詳細な情報を取得します。

トピックの詳細

  • 簡易メール転送プロトコル (SMTP)
    • 電子メールメッセージのライフサイクル
    • 配信経路に沿って埋め込まれたアーティファクト
    • 適応と拡張
  • NetworkMinerによるオブジェクト抽出
    • DFIRワークフローにおける市販ツールの価値
    • NetworkMiner
      • 機能とユーザーインターフェイス
      • オブジェクト抽出のユースケース
      • 制限事項と軽減策
  •  ワイヤレスネットワークフォレンジック
    • 有線ネットワークの分析を無線領域に変換
    • キャプチャ手法:ハードウェアとソフトウェア
    • 有用なプロトコルフィールド
    • 保護メカニズムに基づく典型的な攻撃手法
  •  自動化ツールとライブラリ
    • 大規模な分析と繰り返し可能なワークフローを容易にする一般的なツール
    • カスタムツールやソリューションにリンクできるライブラリ
    • ツールを効果的に連携
  • Arkime によるフルパケットハンティング
    • Arkimeのアーキテクチャとユースケース
    • DFIRワークフローのパケットデータを取り込み方法
    • セッション認識、フィルタリング、一般的なフォレンジックユースケース
    • ハントジョブを使用した生のパケット検索
    • 抽出されたメタデータの拡充
    • CyberChefによるカスタムデコード

暗号化、プロトコル リバーシング、OPSEC、インテリジェンス

このセクションでは、暗号化された未記録のネットワークトラフィックを分析して、隠れた攻撃者の活動を明らかにする方法について学習します。SSL/TLSプロファイリング、プロトコルの悪用、および攻撃者に警戒されないための運用セキュリティの維持について解説します。また、脅威インテリジェンスを安全に共有するためのベストプラクティスも学びます。

取り上げられるトピック

  • エンコード、暗号化、SSL/TLS
  • 中間者攻撃
  • ネットワークプロトコルリバースエンジニアリング
  • OPSECと脅威インテリジェンスの調査
  • キャップストーンチャレンジキックオフ

ラボ

  • TLS プロファイリング
  • Forward Secrecyの復号化と HTTP/2 の調査
  • 未記録のプロトコルの特徴
  • ミニ総合調査
  • キャップストーン証拠の準備

概要

一般的なテクノロジーの進歩により、悪意のある者になりやすくなり、追跡が難しくなりました。強力な暗号化方式が容易に利用でき、カスタムプロトコルの開発と運用も簡単です。それにもかかわらず、最も高度攻撃であっても、まだ弱点があります。攻撃者が意図的に隠している情報を把握したならば、調査の進捗状況を漏らさないよう慎重に行動する必要があります。さもないと、攻撃者はすぐに方向転換してしまう可能性があります。

暗号化は、効果的なネットワークフォレンジックの最も重要なハードルとして頻繁に挙げられますが、それには十分な理由があります。適切に実装されていれば、暗号化は調査員と重要な回答の間の壁になる可能性があります。ただし、技術的および実装上の弱点を有利に利用することができます。これらの弱点がない場合でも、暗号化されたネットワークトラフィックに対する適切な分析アプローチにより、コンテンツに関する貴重な情報を得ることができます。暗号化の基礎と、調査中の暗号化へのアプローチ方法について説明します。このセクションでは、暗号化された会話を特徴付けるためのフロー分析についても説明します。

また、記録されていないプロトコルや、悪意のある目的での既存のプロトコルの悪用についても説明します。具体的には、キャリアプロトコルに関する限られた、または存在しない知識でインテリジェンス価値を導き出す方法について説明します。

最後に、よくあるミスが攻撃者にフォレンジック担当者の進捗状況に関する明確な洞察をどのように提供できるかを見ていきます。これにより、攻撃者は戦術を変更し、調査員を混乱させ、その時点までの進行状況をすべて消去することさえあります。侵害された環境で調査を実施するためのベストプラクティスと、関連するリスクを軽減するために苦労して獲得したインテリジェンスを共有する方法について説明します。

トピックの詳細

  • エンコーディング、暗号化、SSL/TLS
    • エンコーディングアルゴリズム
    • 暗号化アルゴリズム
      • 対称
      • 非対称
    • 有用なネゴシエーションフィールドを使用したSSL/TLS接続のプロファイリング
    • 分析による緩和策
    • 完全な前方秘匿性
  • 中間者 (MITM)
    • 悪意のある使用とそのアーティファクト
    • 善意の使用とその制限
    • 一般的なMITMツール
  •  ネットワークプロトコルリバースエンジニアリング
    • 既知のプロトコルフィールドを使用して、未知の基礎となるプロトコルの分析
    • 一般的なエンコードアルゴリズムのパターン認識
    • 未記録のバイナリプロトコルへの対処
    • インシデント対応コンテキストでの後続の手順
  • OPSECと脅威インテリジェンスの調査
    • 運用セキュリティ
      • 基本的な分析は攻撃者に情報を提供する
      • 品質を損なうことなくリスクを軽減する方法
    • インテリジェンス
      • スマートな共有計画
      • リスク軽減のためのインテリジェンスの保護
  • キャップストーンチャレンジキックオフ

ネットワークフォレンジックス キャップストーンチャレンジ

このキャップストーンセクションでは、受講者はグループに分かれて、現実世界の攻撃から得られたネットワーク証拠を分析し、攻撃者の行動を特定し、調査結果を提示します。ネットワークデータのみを使用して、フォレンジックナラティブを作成し、エグゼクティブサマリーとテクニカルサマリーの両方の要約とともに学習することに重点を置いています。 

取り上げられるトピック

  • ネットワークフォレンジックの事例

ラボ

  • キャップストーンラボ

トピックの詳細

  • ネットワークフォレンジックの事例
    • ネットワークベースの証拠のみを使用した分析
      • 高度な攻撃者による侵害の元とな源る情報源の特定
      • 被害者の環境にいるに攻撃者の行動の特定
      • 攻撃者が被害者からどのようなデータを盗んだかを確認
    • 報告
      • 一日のラボの最後に、調査結果のエグゼクティブレベルの要約を発表
      • 調査結果を文書化し、低レベルの技術の裏付けを提供
      • 攻撃者の活動のタイムラインを確立して提示

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ