NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Enterprise-Class Incident Response & Threat Hunting
※2021年11-12月のイベントでの本コースは開催中止となりました。
次回の開催をお待ちください。
Digital Forensics and Incident Response
English2021年11月29日(月)~12月1日(水)
1日目:9:00-17:30 (日本時間)
2日目~3日目:9:30-17:30 (日本時間)
オンライン
■通常価格:520,000円(税込み:572,000円)
―
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、このコースに不可欠な実践的な演習に参加できないため、クラスを満足できないままにしてしまう可能性があります。したがって、コースに指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。
ほとんど常識であるとはいえ、再度お伝えしなければならないことがあります。講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。
今日の企業には、デスクトップからサーバ、オンサイトからクラウドまで、数千、場合によっては数十万ものシステムがあります。物理的な場所やネットワークの規模のいかんによって攻撃者からの攻撃が抑止されているわけではありませんが、それらの要因は、組織がセキュリティインシデントを検出して対応する際の方法に影響をします。我々の経験では、かなりの規模の組織が侵害を受けた場合、攻撃者が1つや2つそこらのシステムを侵害するなどということはほとんどありません。適切なツールと方法論を持ち合わせることがなければ、セキュリティチームは常にキャッチアップに追われ、一方で攻撃者は成功し続けることでしょう。
FOR608: Enterprise-Class Incident Response & Threat Huntingは、一つ一つの端末だけを取り扱うのでは到底間に合わないような大規模なインシデントの特定と対応に重点を置いています。ただ、通常のインシデント対応とコンセプトは似通っており、やはり、何百台ものマシンからの情報に基づいて収集、分析、意思決定を行います。そのためには、自動化と分析が必要な情報に迅速にフォーカスする機能を必要とします。エンタープライズ・クラスの規模で動作するよう構築されたサンプルのツールを使用して、インシデント・レスポンスとスレット・ハンティングのために焦点を絞ってデータを収集する方法を学習します。その後、タイムライン、グラフ化、構造化、および非構造化分析手法を使用して、さまざまな機能のホストやオペレーティングシステムの間で、攻撃者の動きや活動を理解するための複数のアプローチを学習し、分析手法を掘り下げていきます。
FOR 608は上級レベルのコースですので、Windowsホストおよびネットワークのフォレンジックやインシデント対応における初心者向けの内容をスキップします。このコースは、SANSの500番台のクラスより絶対的に技術的な内容とは言えませんが、トピックやコンセプトについて何度も説明し直す必要が無いように、知識をお持ちであることを前提としています。
受講生は、数年以上のDFIR経験があるか、次のようなクラスを受講した経験がある、またはその双方を受講mにあたって必要とします。
FOR500 (Windows Forensics Analysis)、
FOR508 (Advanced Digital Forensics, Incident Response, and Threat Hunting)および/または
FOR572 (Advanced Network Forensics: Threat Hunting, Analysis, and Incident Response)
大規模な環境でのインシデント対応では、インシデント対応担当者がさまざまな分野に精通する必要があります。広範なフォレンジック調査の知識が基礎となります。良い技術的アプローチにより、スケーラビリティを確保することが可能になります。6桁台のマシンが接続されているネットワークを調査するという純粋な技術的課題の先には、モノの管理という側面があります。インシデント対応の成功ことには、侵害が被害者に与える影響を可能な限り最小化し、攻撃者が前よりも素早く復帰できないようにするためのすべての措置が含まれます。
インシデント対応を成功させるリーダーは、リソースと被害者を賢明に管理し、情報が途中で失われないようにし、効率的で安全なリカバリのための知識を提供し、侵害中に適切な内部および外部のコミュニケーションをサポートする必要があります。FOR 608では、多くのよく知られたフォレンジックおよびインシデント対応の原則を適用し、それらを拡張しますが、さらに一歩進んで、大規模な調査を実行および制御する方法を説明します。最善のインシデント対応は、評判が失われることや、侵害のコストを可能な限り削減すると同時に、被害者を安全な状態にしておくことだと考えます。
- Mathias Fuchs
FOR 608は、FOR 508の講義の終了地点から始まるように設計されています。FOR 608では、攻撃者がWindowsベースのネットワークに侵入するために一般的に使用するテクニックと、インシデントレスポンダが最初の侵入からデータ侵害までを追跡するのに役立つアーティファクトについて詳しく説明します。FOR 508での6日間のトレーニングで多くのことが達成されましたが、FOR 608でカバーすべき分野はまだたくさんあります。我々は、インシデント対応の調査という旅を続けるために、FOR 608の最初の3日間バージョンをご提供することに興奮しています。
FOR 608は、積極的な防御と検出、ケースとチームの管理、大規模なデータ分析、Linuxオペレーティングシステムに対する攻撃の調査など、企業におけるインシデント対応の重要な側面をカバーしています。これらは、企業が効果的に対応するために重要と考えられている大切なテーマの一部にすぎません。次段階のテクニックとサポートツールを習得することで、現在ほとんどの組織が直面している、大規模で多様な脅威に対処するために必要な能力を学生に提供できます。
- MikePilkington
何年も前には、インシデントレスポンスは、単一のシステムを扱う単一のインシデント対応者に焦点を強く当てていました。時代は劇的に変化し、私たちは企業全体に積極的かつ効果的に広がっている先進的な敵対者に直面しています。攻撃が検出される時までに、何百ものシステムが危険にさらされていることがよくあります。こうした脅威に対応するためには、インシデント対応者が利用可能なツールと技術を使用してプロセスをスケールアップすることが重要です。そうしたことについて、FOR 608が実現に役立つでしょう。
このコースは現実的なシナリオに基づいて構築されており、受講生の深い理解を促すツールを使用してインシデントレスポンスを段階的に実施していきます。皆さんがご自身の企業において期待されているのとまったく同じように、さまざまなテクノロジーと大量のデータを取り上げています。どのように対応して、CTIを共有し、ツールを活用するかを学ぶことで、最もしつこい攻撃者にも対応できるようにインシデントレスポンスの機能を強化しています。企業内でインシデント対応を担当する方を対象としたコースです。
- Taz Wake
FOR608: Enterprise-Class Incident Response & Threat Huntingのコースは、サイバー防衛に関する現在の懸念事項、およびインシデント対応者と脅威ハンターが検出と対応においてどのようにしてより積極的な役割を果たすことができるかについての議論から始まります。MITRE ATT&CK (R) フレームワークのようなソースから共有された知識を組み込み、チームとコミュニティ内のコラボレーションを行うことが焦点となります。さらに、攻撃者への能動的防御アプローチの採用と検出の容易化について議論します。ハニーポット、ハニートークン、およびカナリアの使用と、それらを配備する方法について説明します。こうしたtripwireは、侵入を迅速に検出して応答するための可視性を必要とする防御側および応答側を提供します。
不幸にも避けられない真実としてシステムへの侵害が発生した場合、侵害の効率的な処理を可能にするプロセスと技術に焦点を当てて議論を続けます。対応のリード、チームメンバーの管理、調査結果の文書化、ステークホルダーとのコミュニケーションなどの概念を詳細に説明します。インシデント対応とビジネス要件を整合させるインシデント対応モデルの3つの優先順位を紹介します。この専用のAuroraツールは、初期検出からスコーピング、封じ込め、インジケータの開発、修復までの調査フェーズを追跡するための共有プラットフォームとして提供されるものです。
講義では、スレット・インテリジェンスの開発及び実施を含む、概念についての検討を継続していきます。外部プロジェクトのMITRE ATT&CK (R) マトリックスやSigmaも活用します。脅威インテリジェンスの取り込み、追跡、共有のための2つの包括的脅威インテルプラットフォームとして、 MISPとOpenCTIを取り上げます。仮想のサンプル企業として、Stark Research Labs (SRL) を標的とした攻撃者に関する脅威情報レポートが提示され、侵入の潜在的な兆候の調査を開始します。
この日の講義の最後では、上記で説明した仮想の企業ネットワークでトリガーされたアラートが、潜在的な攻撃のスタート地点として使用されます。担当者によって収集されたトリアージデータは、タイムライン上で処理され、データがTimesketchにインポートされます。Timesketchは、フォレンジックデータのスケーラブルで協調的な分析のための強力なプラットフォームとして利用されます。タイムラインデータのインポート、追加のフィールド解析の提供、および異常なアクティビティを強調するための機能強化のベストプラクティスが紹介されています。講義の後半では、Kibanaと同じデータセットを表示するテクニックも提供しており、視覚化のためのダッシュボードの作成や、分析を支援するための保存された検索などの追加機能が提供されます。
仮想のサンプル企業であるStark Research Labs(SRL)に対する潜在的な侵入について調査するため、大規模な証拠の収集を始めます。SRLにはEndpoint Detection and Response (EDR) ツールがあり、そのデータを活用して収集範囲を決めます。しかし、攻撃者はEDR技術をバイパスしたり破壊したりすることがあるので、一般的に行われているバイパス技術についてご教示いたします。また、EDRの制限を認識するとともにEDRログ・データ内の異常なアクティビティを検出するためのトレーニングを受講者と実施します。
ログ化された一般的なアーティファクトの分析にとどまらず、大規模なインシデントレスポンスと脅威ハンティングのための強力なプラットフォームとして、オープンソースのVelociraptorツールを紹介します。Velociraptorは、企業全体からフォレンジックのアーティファクトを引き出すことに長けているだけでなく、分析者にとって関心のある個々のホストを深く掘り下げるためのツールを提供しています。Velociraptorが多くの状況においてだけでなく、多くのオペレーティング・システムやアーキテクチャに役立つ柔軟なツールであることをお示しします。
Velociraptorの便利な機能のひとつは、収集したデータをElasticsearchにプッシュできることです。Elasticsearchもまた、あらゆるインシデント対応者のツールキットに適した強力で柔軟なツールです。そのため、Elasticsearchを使用して、Velociraptor、PowerShell IRフレームワーク、Kansa、Log 2 timelineツールからのデータを含むさまざまなデータ型を取り込み、処理します。それからKibanaにダッシュボードと可視化をセットアップして異常値解析を行い、大規模データセット全体で一般的な攻撃者のTTPを迅速に探索します。
EDRのログデータやVelociraptorやKansaのようなツールを使って侵害の恐れがあるネットワークを一通り確認した後は、より深堀りしていく必要がある一連のホストが必然的に見えてくるはずです。VelociraptorやCyLRのようなマルチプラットフォームツールなど、大規模な目標データ収集を迅速に行っていくためのオプションをご提示します。Velociraptorの場合、永続的なクライアント/サーバベースでインストールできますが、スタンドアロンのコレクタとしてもインストールできます。どのような場合においても敵の活動の進み具合を追跡するために重要となる成果物を収集するため、それらのツールを使用する方法をデモします。解析のために取得したデータを迅速に後処理することも、パズルの重要なピースの1つです。収集されたアーティファクトを迅速に取得し、Timesketch、Elasticsearch、または個々のアーティファクトのレビューで分析するためのソリューションを提示いたします。
セクション3では、従来のホスト・ベースのフォレンジック・アーティファクト分析に移行します。この日はまずランサムウェア攻撃など、Windowsシステムを攻撃する最新技術を紹介します。ランサムウェア攻撃やその他の標的型攻撃の前兆検知において、攻撃者が「自給自足」手法により検知を無効化することについてかなりの説明時間を費やします。攻撃者が組み込みのバイナリやスクリプト(aka 「LOLBAS」、 「Living-Of-Landバイナリとスクリプト」)を利用して、カスタムマルウェアをホストに持ち込むことなく目的を達成するテクニックは数多くあります。こうしたテクニックについて積極的に検知または遡及的に分析するのを学ぶのは、今日におけるシステム侵害を調査するために重要なことです。
Windowsに関する最初のディスカッションに続き、残りの時間はLinuxのインシデント対応と分析に焦点を当てます。FOR608の6日間版では完全にLinuxのトピックスをカバーする日となりますが、そのほとんどをこの3日間版でもカバーしています。大小さまざまな組織が、Linuxシステムを自社の環境に導入しています。Linuxに対する侵入はそれほど頻繁にニュースになるわけではないですが、攻撃者が脆弱なLinuxシステムを定期的に悪用し、被害を受けた組織に足場を築き、維持していることは周知の事実です。
FOR 608では、Linuxのシステムや構成に共通する脆弱性の概要を説明した後、これらのシステムを標的とする攻撃者による一般的な攻撃方法を採り上げます。権限の昇格、永続性、およびラテラル・ムーブメントは、Windows環境への攻撃によく使用される手法ですが、Linuxに対しても同様に適用されます。
続けて、Linuxシステムを分析する際のDFIRの基本的な事柄について採り上げます。しばしば混乱を引き起こすトピックとしては、Linuxディストリビューション、Linuxファイルシステム、論理ボリュームマネージャー、主要なログファイルの場所の違いなどがあります。Linuxシステムの初期におけるトリアージと、より深いフォレンジック分析の両方を扱う方法をご提示します。予期しないログイン、疑わしい新規ファイルまたは変更されたファイル、アプリケーションログ内の外れ値を検索する方法などは、悪意のある動作を特定するために使用される手法のほんの一部です。最後に、システムのハードニング、ロギング設定の強化、および将来の調査に役立つモニタリング機能の追加に関するベストプラクティスを紹介します。FOR608の主目標は、Linuxの侵入を調査する能力を受講生に提供することです。このコースを修了すれば、さまざまな企業ネットワークにおける大規模な侵入に対応するための重要な新しいスキルと技術を習得できます。
Linuxログ分析
Linuxトリアージ・コレクションとフォレンジック対応