NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Building and Leading Security Operations Centers
2022年11月28日(月)~12月2日(金)
1日目:9:00 ~ 17:30
2~5日目:9:30 ~ 17:30
オンライン
1,070,000円 (税込み 1,177,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要!次の手順に従ってシステムを構成してください。
重要:M1プロセッサを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースに使用することはできません。
このコースに参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高いです。したがって、このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。
ホストOSは、最新版のWindows 10、macOS 10.15.x以降、またはLinuxで、後述のVMware仮想化製品をインストールし、実行できるものである必要があります。また、授業でVMを正しく機能させるためには、8GB以上のRAMが必要です。
64ビットのゲスト仮想マシンがラップトップ上で動作するように、CPUとOSが64ビットをサポートしていることが重要です。
64ビット対応のハードウェアに加え、AMD-V、Intel VT-x、または同等のものがBIOS/UEFIで有効になっている必要があります。
VMware Workstation Pro 15.5.X+, VMware Player 15.5.X+ または Fusion 11.5+ のいずれかを授業開始前にダウンロードし、システムにインストールする必要があります。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトから登録すると、期間限定のシリアルナンバーが送られてきます。
MGT551の必須システム要件
CPU:このクラスでは、64ビット2.0+ GHzプロセッサまたはそれ以上のシステムが必須です(重要 - 必ずお読みください:64ビットシステムのプロセッサが必須です)。
BIOS/UEFI:VT-x、AMD-V、または同等のものがBIOS/UEFIで有効になっている必要があります。
RAM:このクラスでは8GB(ギガバイト)以上のRAMが必須です(重要 - 必ずお読みください:8GB以上のRAMが必須です)。
ディスク::25ギガバイトの空きディスク容量
接続
ソフトウェア
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
管理者は、ビジネスとの整合性を示し、真の価値を実証する必要があります。脅威が常に変化し、時には目に見えないこともある中で、このような挑戦は困難です。セキュリティオペレーションセンター(SOC)の管理には、技術的な知識、管理スキル、リーダーシップ能力のユニークな組み合わせが必要です。MGT551は、効果的な防御を構築するための技術的手段と、効果的なチームを構築するための管理ツールを学生に提供することで、ギャップを埋めることができます。SOCのリーダーが直面する一般的な質問は以下の通りです。
あなたが新しい SOC を作ろうとしているのか、それとも現在のチームを次のレベルに引き上げようとしているのか、MGT551 はあなたの人材、ツール、そしてプロセスに大きな力を与えてくれることでしょう。MGT551の各セクションは、ハンズオンラボと業界最高のフリーおよびオープンソースツールの紹介で満載です。学生は、測定可能な結果を促進し、インフラストラクチャとビジネスプロセスのすべての方法をカバーする方法で、SOCのスタッフ、プロセス、および技術を組み合わせる方法を学びます。最も重要なことは、SOCを成長させ、進化させ、長期にわたって改善し続ける方法を学ぶことです。
「車輪の再発明をしようとしているような組織が非常に多くあります。このコースに投資すれば、SOCを構築し、スタッフを配置し、指導するための確かな道筋をつけることができる、現実的で実用的な情報を得ることができるのです。
- Brandi Loveday-Chelsey
ビジネス・テイクアウェイ
学習するスキル
ハンズオントレーニング
このコースはマネジメントとリーダーシップに重点を置いていますが、決して非技術的なプロセスや理論に限定されるものではありません。このコースでは、インタラクティブなリーダーシップシミュレーションゲーム「Cyber42」を使って、実世界のシナリオに入り込み、職場で遭遇する状況について議論し、批判的思考を促します。5日間の講義を通して、受講者はプレイブックの実装からユースケースデータベースの作成、攻撃・検知能力の優先順位付けと可視化、紫チームのプランニング、脅威の探索、レポートまで、15種類の実践的な演習に取り組みます。SOCがどこに注力すべきか、防御能力をどのように追跡・整理するか、SOCの改善をどのように推進・検証・伝達するかを理解するための枠組みを身につけることができます。
ラボは、実践的な活動を歩んでいく上で素晴らしいものです。
Sean Mitchell, Babcock International
素晴らしいラボです。
- Andrew Head, dentsu
「Cyber42のゲームアクティビティは、その日に学んだコンセプトを強化するもので、とてもよかったです。
- Ilyas Khan, Ericsson
「ほとんどが非技術的な演習であったが、SOCを構築するためのすべての側面が整っていることを確認するための思考プロセスを誘発するものであった。
- Wee Hian Peck, INTfinity Consulting PL
シラバスの概要
追加の無料資料
受け取るもの
このコースは、セキュリティオペレーションセンターを初めて構築する方、または既に運営されているセンターを改善する方を対象としています。
このコースの理想的な受講者の職務は以下の通りです。
NICEフレームワークの業務役割
SOCが今日直面している環境に対して、適切で最新の情報でした。
- Christopher Elliot, Hulu
このコースは特に前提条件を設けていませんが、運用セキュリティの職務経験があることが推奨されます。SEC450のようなSANSのコース。ブルーチーム・ファンダメンタルズ Security Operations and AnalysisやMGT512: Security Leadership Essentials for ManagersなどのSANSのコースで、これから説明するコンセプトの基本的な理解を深めることができます。
GSOM 認定資格は、効果的なセキュリティオペレーションセンターを運営するプロフェッショナルの能力を検証するものです。GSOM 認定を受けたプロフェッショナルは、SOC とそのチームを戦略的に運営し、改善するために必要な管理スキルとプロセスフレームワークに精通しています。
"私の最初の SOC コース(SEC450: Blue Team Fundamentals)を補完するために書かれた MGT551 は、私が大手製薬会社の SOC アナリストおよびマネージャとしてのキャリアを通じて発見した、より高度なフレームワークと組織戦術を紹介することによって、セキュリティ運用の全体像を完成させるものである。セキュリティ運用のための最先端のオープンソースツールと手法の実践的な適用を含むことにより、MGT551は、SOCのリーダーのための完全なパッケージを提供します。このコースは、長年の知識と実体験に数ヶ月の追加調査を加え、セキュリティチームを効果的かつ効率的に成功に導くための最も重要な情報を凝縮しています。"
- John Hubbard
"このコースの目的は、規模やリソースに関係なく、すべての組織のブルーチームが最高の効率と能力を発揮できるようにすること、そして業界でよくある失敗を繰り返して苦しむ人がいなくなるようにすることです。このコースは、セキュリティ運用を支援し、構築し、指導してきた20年間の集大成であり、SANSコミュニティに提供できることに大きな喜びを感じています"
- Mark Orlando
"このコースは、私の仲間にも勧めたいし、勧めようと思っています。私は、長年セキュリティのセールスエンジニアをしてきましたが、顧客の痛みや顧客側の知識が不足していました。このコースは今のところ的を得ています!"
- Moises Acevedo, Recorded Future
MGT551は、セキュリティオペレーションセンターを構築するために必要な重要な要素から始まります:敵を理解し、要件を計画し、物理的空間を作り、チームを作り、コアツールセットを配備します。このコースでは、SOCを運用するための強固な基盤を構築する方法、最も重要なユーザーとデータにまず焦点を当て、組織に影響を与える可能性が最も高い脅威に合わせて防御計画を調整する方法を学びます。ワークフローの最適化、情報の整理、データの収集を通じて、SOCの特権的なユーザーとデータを保護しながら、セキュリティ運用を可能な限り効率的に開始する方法を学びます。演習では、脅威グループと資産のプロファイリング、環境への攻撃経路のマッピング、特定した脅威と攻撃ベクトルを特定するための反復可能なプレイブックの使用例を通じて、これらの概念をどのように実装するかを紹介します。
脅威要因の評価
攻撃経路の策定
SOCプレイブックを開発し、実装する
はじめに
チーム編成、採用、トレーニング
SOCの構築
SOCツールおよび技術
SOCエンクレーブおよびネットワーキング
MGT551のセクション2は、攻撃者の戦術、技術、手順についての理解を深め、我々の環境においてそれらをどのように特定するかについて焦点を当てます。評価と計画、データ収集と監視の優先順位、サイバー脅威の情報収集の指針となる防御理論やメンタルモデルについて説明します。また、DevOps、サプライチェーン、インサイダー脅威、ビジネスメールの侵害など、より専門的なセキュリティモニタリングのユースケースについても取り上げます。演習では、MITRE ATT&CKフレームワークを使用してセキュリティデータ収集を計画し、最も緊急な防御上の疑問に答える適切でタイムリーな情報のための確固たる脅威インテリジェンス要件を記述します。
アタックツリーアセスメント
攻撃手法とセキュリティコントロールの可視化
優先的なインテリジェンス要件の作成
サイバーディフェンス理論とメンタルモデル
サイバー脅威インテリジェンス
MGT551のセクション3は、検出の改善に関するものである。効果的なトリアージと分析から始まり、分析設計の基礎から、より効果的なアラートメカニズムへと移行していきます。検出エンジニアリングを、計画、追跡、および測定すべきSOCの中核的な規律として議論します。SOCのキャパシティプランニングのための反復可能でデータ駆動型のアプローチを学び、そのプロセスをカスタムツールを使った実習で適用し、ご自身の環境に持ち帰ることができるようにします。また、様々なタイプのプロアクティブな脅威ハンティングを取り上げ、検知能力の測定可能な改善をもたらす構造的なアプローチを確認し、そのアプローチを脅威ハンティングラボで実際に適用します。最後に、アクティブ・ディフェンスの概念と、成熟したセキュリティ運用能力におけるその役割について見ていきます。MGT551 のセクション 3 で学んだツール、プロセス、およびコンセプトを SOC に持ち帰ることで、環境内の(仮想)石ころの跡を絶やさずに済むようになります。
SOCキャパシティプランニング
ユースケースの構造化、文書化、整理
脅威ハントの計画
効率的なアラートのトリアージ
検知エンジニアリング
分析・解析フレームワークとツール
ブルーチームの知識標準化と次期ツール
スレットハンティング
アクティブ・ディフェンス
セクション4では、ツールセットから実績のあるフレームワーク、数え切れないほどの実際のシナリオで学んだヒントやコツまで、オペレーション・マネージャーのために、準備から特定、封じ込め、根絶、復旧までの対応サイクル全般をカバーします。MGT551の第4章は、効果的なトリアージ、調査の心構え、偏見を避けるためのツールなど、調査の基礎から始まります。次に、セキュリティ管理の導入、価値の高い資産やユーザーの特定、対応策を導くためのプレイブックの設計など、環境を防御するための準備に焦点を当てます。最後に、インシデント対応に最適なツールや、計画の指針となる無料のフレームワークについて説明します。セクション4のラボ演習では、無料のRE&CTフレームワークを使用したインシデント対応プレイブックの設計、調査のレビューと品質管理、およびテーブルトップ演習の開発について学びます。
テーブルトップエクササイズの設計
RE&CTを使用したインシデントレスポンスの計画
調査の品質管理
調査
インシデントレスポンス(IR)計画
リカバリーと事故後
クラウドにおけるインシデントレスポンス
情報漏えいへの対応
IRツール
継続的な改善
MGT551の5番目と最後のセクションは、セキュリティ運用の測定と改善に関するものである。このセクションでは、「人材の育成と改善」、「SOCのパフォーマンスの測定」、「評価と敵のエミュレーションによる継続的な検証」の3つの領域に焦点を当てます。また、ダイナミックでプレッシャーのかかる環境における人材管理について、より困難な要素である、正しい文化の構築、有害な行動への対処、日常業務における一般的な落とし穴への対処も取り上げます。構造化されたテストを通じて価値を実証し、学習、コラボレーション、継続的な改善の文化を醸成することで、長期的な成長と成功を実現することができます。セクション5では、そのためのツール、テクニック、洞察力を身につけます。演習では、アナリストのスキル自己評価とトレーニングプランの作成、SOC指標の設計、継続的な評価と検証を行います。
スキルセルフアセスメントとトレーニングプランの作成
メトリクスの作成、分類、および伝達
パープルチームのアセスメント
スタッフのリテンションとバーンアウトの軽減