ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 509

Enterprise Cloud Forensics and Incident Response

Digital Forensics and Incident Response

English
日程

2023年12月4日(月)~12月9日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCFR
講師
Joshua Lemon|ジョシュア レモン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,200,000円(税込み 1,320,000円)

申込締切日
早期割引価格:2023年11月10日(金)
通常価格:2023年11月24日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • OnDemand  135,000円(税込み 148,500円)
  • NetWars Continuous  235,000円(税込み 258,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

現在お申し込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR509 PC設定詳細

重要!次の手順に従ってシステムを構成してください。

このコースに全て参加するには、適切に構成されたシステムが必要です。次の指示を注意深く読んで従っていただけない場合、このコースに不可欠となっている演習に参加できず、講義を満足できないままにしてしまう可能性があります。指定されたすべての要件を満たすシステムをご用意いただくことを強くお勧めします。

講義の前にシステムのバックアップを取ってください。また、システムに機密データを保存しないようにしてください。SANSはシステムやデータに対して責任を負いません。

ノートパソコンのハードウェア要件

  • Intel-VTx」や「AMD-V」拡張機能などの仮想化技術を有効にするには、BIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 350GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイント保護ソフトウェアの中にはUSBデバイスの
  • 使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ノートパソコンのホストOSとソフトウェア要件

  • ホスト・オペレーティング・システムは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されます。授業で使用するメディアファイルは大容量で、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。この手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を表示させておくのに便利です。

ノートパソコンの設定に関して追加で質問がある場合は、sans-info@nri-secure.co.jp (NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

FOR509 コース概要

クラウドの中でおこっている嵐について、理解しましょう。

FOR509: Enterprise Cloud Forensics and Incident Response では、次についてのあなたの理解を支援します。

  • クラウドのみで利用が可能なフォレンジック用のデータ理解
  • DFIRのためのクラウド・ロギングのベスト・プラクティスの実装
  • Microsoft AzureAWSGoogle Cloud Platformのリソースを活用した証拠収集の方法
  • Microsoft 365とGoogle Workspaceのログを分析者が確認する方法
  • フォレンジックプロセスをクラウドに移行し、データ処理を高速化する方法

このEnterprise Cloud Forensicsのコースでは、大手クラウドサービスプロバイダ(Microsoft Azure、Amazon AWS、Google Cloud Platform)において、従来のオンプレミス環境では得られなかった新たな証拠(ソース)を用い、何を新たに実施できるのか確認していきます。ネットワークトラフィックのモニタリングから、証拠保全のためのハイパーバイザの直接的な操作まで、クラウド環境におけるフォレンジック調査というのは決して終わることが無く、新しい技術と能力によって生まれ変わっていくものです。インシデントレスポンスとフォレンジックは、攻撃者が残した痕跡を追うことが主な目的です。痕跡は、主にログの中にあります。ログを取得する仕組みよりも、調査プロセスに関する知識の方がはるかに重要です。

このクラスは、主にログ解析のクラスで、調査員がクラウドベースの調査技術に迅速に対応できるようにするためのものです。クラウド上でどのようなログが取得できるのか、ログはデフォルトでオンになっているのか、ログに含まれるイベントの意味をどう解釈するのか、などを知ることは非常に重要です。コース全体にわたる多数の実践的なラボ演習により、コースに参加されるフォレンジック調査の担当者は、過去の著名な事件や調査に基づき作成された証拠に触れることができます。そして、データをどこから引き出し、どうやって分析して悪事を見つけられるか、その方法を学ぶことになります。データは、一貫したラボ体験を保証するために、クラウド経由で直接アクセスするのではなく、VMで利用できるようになります。


FOR509 ENTERPRISE CLOUD FORENSICS のコースを通して学べること:

  • データの場所にかかわらず、効果的に状況を把握、識別、情報収集するためのツール、テクニック、手順を学び、マスターする
  • クラウド環境のみで利用できる新しいデータの把握と活用
  • クラウドネイティブツールを活用し、従来のホストエビデンスの取得・抽出を行う
  • Elastic Stackなどのスケーラブルなテクノロジを使用して、大規模なデータセットを迅速にパースおよびフィルタリングする
  • さまざまなクラウド環境で利用可能なデータを理解する


FOR509 ENTERPRISE CLOUD FORENSICS コースのトピック

  • クラウドインフラストラクチャとIRデータソース
  • Microsoft 365Graph APIの調査
  • AWSでのインシデント対応
  • AWSインシデントレスポンス
  • Kubernetesクラウドのハイレベルログ
  • Google Workspaceの調査
  • GCPでのインシデント対応

次に学ぶべきこと

受講対象者

  • インシデント対応チームに所属しており、ソフトウェア、インフラストラクチャ、プラットフォームに影響を与えるセキュリティインシデント/侵入に対応する必要がある方またはエンタープライズクラウド全体で侵害されたシステムを検知、調査、修復、および復旧する方法を知る必要がある方
  • 脅威について完全に理解し、より効果的に脅威を追跡し、その策略に対抗するために学んでいく方法を求めている、脅威ハンター
  • SOCアナリストで、アラートについての理解を深め、イベントの優先順位付けに必要なスキルを構築し、クラウド・ログ・ソースを完全に活用することを検討されている方
  • 経験豊富なデジタルフォレンジックアナリストで、クラウドベースのフォレンジックに対する理解を強化したいと考えている方
  • データ漏洩事件やデータ侵害への対応を直接サポートする、情報セキュリティの専門家
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのフォレンジック調査の枠を超えて調査スキルを拡張したいと考えている捜査担当者および法執行の専門家
  • SANS FOR 500、FOR 508、SEC 541、SEC 504の既受講生で、クラウドベースのフォレンジック調査をスキルに追加したいと考えている方

※FOR509は、GIAC(GCFR)認定試験対象コースです。

GCFR認定資格は、3つの主要なクラウドプロバイダーにおけるインシデントの追跡および対応能力を検証するものです。GCFR認定者は、急速に変化する企業のクラウド環境を管理するために必要なログの収集と解釈のスキルに精通しています。

  • クラウド環境におけるログの生成、収集、保存、保持
  • クラウドリソースに影響を与える悪意ある活動や異常な活動の特定
  • フォレンジック調査のためのクラウド環境からのデータ抽出

前提条件

FOR 509は、クラウドインフラストラクチャとログ分析に焦点を当てた中級から上級のコースです。このクラスでは、他のSANSクラスで学習した内容を補強、置換、または拡張するようにできており、クラウドプロバイダによって作成されたデータを利用する方法について説明します。

次のコースの受講経験があると、このコース受講に有利です。

FOR500: Windows Forensic Analysis
FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
SEC488: Cloud Security Essentials

または、関連する過去の経験がある場合についても、受講にあたって有利です。

コース開発者より

「多くのDFIR専門家は、クラウドを「他人のコンピュータ」と一蹴し、フォレンジック活動の新たな証拠となる可能性を見過ごしてきました。しかし、攻撃者はクラウドのテナントを完全に攻撃・攻略することなしに監査ログを消去できないという点から、ハードウェア追加なしに1行のコード/クリックでNetflowデータを有効にできるといった点に至るまで、クラウドの利点を受け入れるDFIR専門家にとっては、新しい可能性が提供されれます。

FOR 509のコースは、クラウドベースの調査を理解し、分析し、解決する上での足がかりとなるように作成されています。市場で最もポピュラーなクラウドソリューションをカバーし、受講生がデータを解釈する方法を取り扱うだけでなく、検出と応答の能力を次のレベルにするための理解を促進します。クラウドの自動化、オンデマンドでの柔軟なインフラストラクチャ、スタンバイ状態でのクラスタ処理などにより、受講生が所属する組織はどのような規模のイベントにも対応できるようになります。我々はこれまでにいくつもの大規模ネットワーク侵害に対処してきたわけですが、クラウドにおいても同じことができるようになる準備ができていることをこのコースを通じてお示しします。」
 - David Cowen

「我々がこれまでオンプレミス環境において防御を行って成功を収めてきたのと同じように、この新たなピカピカなソリューションである「クラウド」は戦いの環境を根本的に変えてきています。企業は自社のシステムやデータを猛スピードでクラウドに移行しており、われわれは企業を守るものとして、安全を確保するための新たな戦略やノウハウを切望しています。物理システムに直接アクセスできないということは、従来のフォレンジックにおける手法の多くがもはや機能しないことを意味しています。ですが幸いなことに、クラウド環境のためのツールやログにより、インシデントに迅速かつ適切に対応できるようになっています。FOR 509では、スキルをクラウド環境で必要なレベルに引き上げるために、ツールやテクニックを検証します。」
 - Pierre Lidome

「組織は急速にクラウド環境に移行しており、この傾向は今後も続くでしょう。残念なことに、従来型のオンプレミス環境で仕事をしていたインシデント対応者やデジタル・フォレンジックの専門家は、このような新しいテクノロジーに対応するスピードに取り残されています。FOR509は、このような新しい環境においても脅威から組織を守り続けるために必要な知識とスキルを、防御担当者や対応担当者に提供します。クラウドの証拠を入手、分析、解釈する方法を学ぶことは、DFIRの専門家がこの急速なクラウド移行に対応できるようにするために極めて重要です。」
- Megan Roddie

「世の中の組織は、ITインフラストラクチャとオンラインアプリケーションを構築するためのスピーディーで柔軟な方法を急進的に確立するがため、オンプレミス環境におけるインフラストラクチャ、インシデント対応、デジタルフォレンジック調査チームが長年にわたって構築した「可視性」を置き去りにしてしまっています。さらに、クラウドの新しい機能やサービスが急速に導入されているため、インシデント対応の専門家は、セキュリティインシデントが発生した際にどのような証拠を入手できるかを把握するのが困難になっています。FOR 509のコースでは、インシデントレスポンスとデジタルフォレンジック調査の専門家の両方に、どのような証拠が利用可能か、世の中で最も利用されている3つのIaaSとSaaSクラウドにおいて、証拠をどのように入手・解釈できるかについての知識とスキルを提供します。あなたやあなたの組織がクラウド基盤を使用しているのであれば、このクラスは脅威アクターに対して優位に立つために必須なものです。」
 - Josh Lemon

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

FOR509.1: Microsoft 365 and Graph API

概要

あなたに発見していただかなくてはならないデータの世界があります。
クラウド・データの世界を探索する前に、まず、クラウドのデータがどこに、どのように存在するかを知る必要があります。このセクションでは、スナップショットやクラウドフローなど、一般的なクラウドの概念について学びます。この日の講義を通じ、各アーキテクチャそれぞれで、どのような種類のログとデータアクセスが提供されるのかと、どのようにデータ抽出・処理を行うかを理解します。

クラウド・フォレンジックに簡単に拡張できるオープンソースのログ分析プラットフォームSOF-ELKを紹介します。Microsoft 365の統合監査ログ(UAL)について説明し、不審なメールとランサムウェア/恐喝という2つの一般的なシナリオを探ります。最後に、Microsoft Graph API を調べ、それが生成するログを確認することで、この日のセッションは終了します。

演習

演習1.1:SOF-ELKによるデータ可視化
この演習では、Kibanaでデータを検索および可視化する方法を学習します。また、独自のダッシュボードの作成方法も学習します。Kibanaダッシュボードを使用すると、分析者は要約された統計と特定のシナリオの定義済みフィルタを表示できます。

LAB 1.2: 不審な電子メール

SOF-ELKUnified Audit Logsを確認し、ビジネスメールの侵害元を探します。

LAB 1.3: 恐喝

この実習ラボでは、ランサムウェア/恐喝の状況で通常遭遇するさまざまなSharePointとOneDriveのファイル操作を検証します。

LAB 1.4: グラフ API による特権のエスカレーション

Graph API は、Microsoft のクラウド (Microsoft 365 Azure の両方) と対話するための強力な方法です。Graph APIアプリケーションに付与された権限を理解することは、盲点をなくし、インシデントを解決するために重要です。この演習では、Global Admin ロールをユーザーに付与するために Graph API 権限がどのように悪用されたかを追跡します。

トピックス

モジュール1.1:SOF-ELKの紹介

  • SOF-ELKアーキテクチャ
  • Logstash

  • 検索方法

  • Kibanaによるフィルタリング
    • 発見
    • ライブラリの可視化
    • ダッシュボード

MODULE 1.2: DFIRのためのクラウドの主要な要素

  • クラウドモデル
  • クラウドにおけるDFIR
  • 一般的なクラウドの概念
    • 責任共有モデル
    • 調査のための主要ログ
    • クラウド・アクセス・オプション
    • VMディスクスナップショット
    • クラウドフロー
    • 価格設定
    • クラウド間の用語
モジュール1.3:Microsoft 365 統合監査ログ (UAL)
  • ユニファイド・オーディット・ログ
  • UALレコード
  • UALの検索
    • Purview Portal
    • PowerShell Cmdlet
    • Microsoft 365 管理 API
  • Exchange ワークロード
  • SharePoint ワークロード
  • Azure Active Directory
1.4: Microsoft Graph API
  • ケーススタディ ソーラーウィンズ社
  • Graph APIのプロセス
  • Graph API5つのステップ
  • ログ例
    • メールの読み込み
    • ユーザーを作成する
  • Microsoft Graph PowerShell
  • 環境を調査する

FOR 509.2:Microsoft Azure

概要

大企業向けで最も人気のあるクラウドプロバイダの1つは、Microsoft Azureクラウドです。Azureは非常に多くのサービスを提供しており、そこには多くのデータソースが含まれています。このセクションでは、さまざまなAzureのアクティビティと診断ログについて学びます。最後に、独自の分析ツールをクラウドにデプロイする方法について説明します。

演習

LAB 2.1:SOF-ELKとAzureログの使用

この演習では、Azure indexを確認し、pymtechlabs.comのユーザーとマシンを特定します。

LAB 2.2:AADパスワードスプレー

このラボでは、Azure Active Directoryログを使用し、パスワードスプレー攻撃を特定します。

LAB 2.3:リソース作成の追跡

この演習では、暗号化マイニングを目的として作成される仮想マシンの例を確認します。

LAB 2.4:データ消失の検出

この演習では、NSGフロー・ログとストレージ・ログを使用して、データの抜き出しを追跡します。

トピックス

モジュール 2.1:Azureの理解

  • テナント&サブスクリプション
  • Azureリソースマネージャ
  • リソースグループ
  • DFIRの主なリソース
  • AzureリソースID文字列
  • ロールベースのアクセスコントロール
  • Microsoft Azureへのアクセス
    • ポータル
    • CLI
    • PowerShell
  • クラウドシェルでDFIRのエビデンス
モジュール2.2:ネットワーキング、VM、およびストレージ
  • Azureコンピューティング
  • VMタイプ
  • マネージドディスク
  • Azure仮想ネットワーク
  • ネットワークセキュリティグループ
  • ストレージアカウント

モジュール 2.3:IRのログソース

  • ログのソース
  • ログ分析ワークスペース
  • テナントログ
    • ログインログ
    • ログインの成功例と失敗例
    • 監査ログ
    • 分析クエリのログ
    • ケーススタディ:ログイン不可の場合
    • Azureストレージエクスプローラ
    • JSONへのエクスポート
    • SOF-ELKへのインポート
    • イベントハブ
    • グラフAPI
  • Subscriptionログ
    • ログスキーマ
    • ポータルのアクティビティ・ログの表示
    • ログ分析の例
    • ストレージ・アカウントとイベント・ハブ
    • SOF-ELKへのインポート
  • リソースログ
    • NSG Flowのログ
    • SOF-ELKへのインポート
    • ストレージアカウントのログ
    • データ流出
モジュール2.4:仮想マシンログ
  • Windowsエージェント
  • Windows Azure Diagnostics (WAD)
  • WADイベントログテーブル
  • SOF-ELKへのインポート
  • Azure VMの実行コマンド
    • ターゲットシステム上のフォレンジックアーティファクト
    • ソースシステム上のフォレンジックアーティファクト
  • Linuxログ
  • VMについての考察
モジュール2.5:クラウド内IR
  • クラウド内のドライブのイメージング
  • クラウド内での調査
    • スナップショット
    • スナップショットのダウンロード
    • フォレンジックVMの作成
    • フォレンジックツールの実行
  • フォレンジックVMイメージの作成

  • その他のAzureリソース

    • Azure Sentinel
    • マイクロソフトのインシデント対応プレイブック
    • Azure脅威調査マトリックス

FOR 509.3:Amazon AWS

概要

クラウドで可能なことや、我々が利用できる新たなDFIR用の証拠ソースを理解したいま、クラウドサービスのマーケットリーダーに目を向ける時が来ました。このセクションでは、AWSをレスポンダーに使用する方法、独自開発の分析システムや調査のための新しい関連ログをリージョンにデプロイする方法、それらを統合する方法について学びます。演習のシナリオは、AWSでよくあるケースについて、受講生がスピーディーに解決可能になるように意図して作られています。

LAB 3.1:CloudTrailログの確認

このラボでは、CloudTrailからエクスポートされたログを使用して、アカウント乗っ取りの可能性を特定します。コンソールアクセスとAPIキーアクセスの複数のシナリオについて学び、これらの攻撃を検出して追跡する方法を学習します。

LAB 3.2:不正なVMの検出

このラボでは、エクスポートされたCloudTrailログを使用して、攻撃者によって作成された異なるタイプのEC 2インスタンスが作成された場所を特定します。

LAB 3.3:VPC Flowログの分析

このラボでは、VPC Flowのログを使用して大規模なデータ漏洩の証拠を見つけます。さらに、ビーコントラフィックを検索して、侵害の兆候を定義することもできます。

LAB 3.4:S3分析

この演習では、S3のアクセスログを使用して、S3バケットからのデータ漏洩の証拠を見つけます。

LAB 3.5:ラテラルムーブメントの追跡

このラボでは、最初にIAMが破られた時からデータが侵害されるまで、インシデントを追跡するために複数のログソースを使用します。

トピックス

モジュール 3.1:AWSの理解

体系
IAM
IAMのアクセス方法
CloudTrail

CloudTrailインサイト


CloudTrailの価格設定
CloudTrailでの脅威ハンティング
GuardDuty

 

モジュール3.2:ネットワーキング、VM、およびストレージ

  • 仮想コンピューティング
    • EC 2のタイプ
    • EC 2 CloudTrailのログ
    • EBSタイプ
    • EBS CloudTraiのlログ
    • SnapShot
  • 仮想ネットワーク
    • VPC
    • サブネット
    • VPCフローログ
    • Route 53
  • S 3バケット
    • S3 Buckets
    • S3 Buckets for Log Storage
    • S3 Buckets Access Policies
    • S3 Access Logs
    • S3 Transfer Acceleration

モジュール 3.3:IRのログソース

  • AWS ログソース
  • AWS Glue
  • AWS Athena
  • AWS Detective

モジュール 3.4:イベント・ドライブ・レスポンス

  • Lambda
  • Lambdaの例
  • ステップ関数
  • イベントトリガー
  • イベント駆動型のDFIR自動化
モジュール3.5:インクラウドIR
  • IRVMを作成する
  • インクラウドとオンプレミの比較
  • AWSシステムマネージャー
  • Linuxメモリのキャプチャ
  • Windowsメモリのキャプチャ

FOR 509.4:Google Workspace (GCP)

概要

このセクションでは、まずKubernetesのハイレベルな概要と、各クラウドプロバイダーで利用可能なログについて説明する。Google Workspaceは、2006年に始まった組織向けのSaaSソリューションの1つであり、インシデント対応や内部調査を行う際に調査者が使用する証拠品を幅広く取り揃えています。証拠を抽出するさまざまな場所と、抽出する場所によって証拠がどのように異なるかを知ることは、Google Workspaceの調査における重要なコンセプトの1つとなっています。Google Workspaceで最も一般的な4つの攻撃と、それらの攻撃を深く調査する方法を学びます。

他のクラウドプラットフォームと同様に、保存された証拠の限界と、Google Workspaceでの証拠の有効期間を延長する方法について学びます。受講者は、実際に証拠にアクセスし、Google Workspaceの証拠を最適に分析するためのスキルを学びます。

演習

LAB 4.1: Kubernetesログ分析

このラボでは、Kubernetesのログを探索してKubernetesクラスタ内のPodを特定します。また、これらのログを検索して、潜在的な脅威アクターの活動を探します。

LAB 4.2: Googleワークスペース管理者BEC

この実習では、エクスポートした Google Workspace の監査ログとメールログを分析し、管理者アカウントの侵害を調査して、侵害後の活動を判断します。

LAB 4.3: サードパーティアプリケーションによる OAuth の悪用

このラボでは、疑わしい OAuth アプリケーションと、その許可された権限を使用して実行されたアクションを調査します。

LAB 4.4: Google ワークスペースのデータ公開

この実習では、エクスポートした Google Drive の監査ログを確認し、企業のファイルとフォルダに関連する許可の問題や疑わしい活動を特定します。

LAB 4.5: CLI を使用して GCP でワークスペースのログを収集する

このラボは、Google Workspaceからログを抽出するためにGoogle Cloud Platformにアクセスするためのライブウォークスルーです。このラボでは、調査員が分析できるように、インターネット上で直接証拠を収集します。

トピックス

モジュール 4.1: KubernetesのフォレンジックとIR

  • Kubernetesアーキテクチャの概要
  • Kubernetesからのログ
  • Kubernetesに対する攻撃
  • サイドカー・コンテナとポッド

モジュール4.2: Google Workspaceの理解

  • Googleの足跡と責任の分担
  • Googleワークスペースの歴史
  • Google ワークスペースのサービス
  • ワークスペースのエディション、アクセス権、構造
  • Googleワークスペースのグループとアクセス権

モジュール 4.3: Googleワークスペースのエビデンス

  • ワークスペースの管理者ログとSDK
  • ワークスペースからログを収集する
  • ワークスペース管理者の監査ログ
  • ワークスペースのログをGCPに送信する
  • API ログ収集のためのアクセス権設定
  • API経由のログの収集

モジュール 4.4: ワークスペースへの攻撃と対策

  • Google Workspaceに対する攻撃
  • ワークスペースの検出と自動アラート
  • メールセキュリティ侵害の調査
    • 電子メールログ分析
    • Google Vaultの分析
    • 高度なフィッシングとマルウェア
  • スーパーアドミンの乗っ取り調査
    • ワークスペース監査ログのルールと保存
    • ログインとユーザーの監査ログ分析
  • サードパーティアプリの悪用調査
    • OAuthとは
    • サードパーティアプリによるOAuthの不正利用
    • ワークスペース・トークンのログと封じ込め
  • データ流出・漏洩・流出調査
    • Google Drive調査ツール
    • ドライブファイルの復元
    • ドライブ監査とAPIロギング
    • テイクアウトデータ流出
    • テイクアウトの監査とAPIログ
    • 顧客の持ち出し

FOR 509.5:Google Cloud 

概要

Google Cloud Platform (GCP) はさまざまなサービスを提供しており、AWSやAzureなどと比べるとアイデンティティアクセス管理のあり方が根本的に違っているとともに、インシデント対応チームにとって極めて有用なセキュリティや証跡にかかわる仕組みが多く組み込まれています。GCPプラットフォームでは、ビルトインの監査、エージェントベースのロギング、ELKなどの外部ログ分析ツールを組み合わせて使用します。この日の講義では、GCPに関する知識をあまり持たないDFIRの担当者に対し、GCPに対してよくある攻撃を調査する方法を示します。

演習

LAB 5.1:GCP IAMとアクセス追跡

GCP Audit Logsを使用して、KibanaおよびGCPログでログインソースのプロファイル作成、分析、および要約する方法を学習します。

LAB 5.2: CLIを使ってGoogle Cloudのログを収集する

コマンドラインツールを使用して、クラウド上のログに直接アクセスする方法を体験します。

LAB 5.3: Google VMのログとOps Agentのログ分析

GCPのAgent Logsによって生成されるログと、それらを使用してGCP内で侵害されたVMを分析する方法について学習します。

LAB 5.4:Storage Exfil Abuse

GCP Storage Bucketでの持ち出しを追跡するために使用できるログのタイプと、追加の監査ログが有効になっていない場合に持ち出しを追跡するための追加のテクニックについて学習します。

LAB 5.5:GCPにおけるネットワークフォレンジック調査

GCPで利用可能なネットワーク・ログとデータ、および証拠を使用してGCP環境のネットワーク・フォレンジックを実行する方法について学習します。

トピックス

モジュール 5.1:Google Cloudの理解

  • 体系
  • GCPのリソース

  • GCPアイデンティティ・アクセス管理(IAM) 

  • IAMの課題
  • ポリシーアナライザー
  • 組織ポリシー

モジュール 5.2:ログソース、収集およびログルーティング

  • Google Cloudのログ
  • デフォルトのログ
  • Google Cloud ログエクスプローラ
  • ログ分析
  • ログのルーティングと保存
  • ログ パイプライン

モジュール5.3:VMとストレージの調査

  • コンピューティングの概要
  • VMスナップショット作成
  • スナップショット
  • Google ログ エージェント
  • Google CloudのOpsエージェント
  • Google Cloudストレージバケット
  • バケット権限
  • バケット特権のエスカレーション
  • バケット オブジェクト ログ

モジュール 5.4: Google Cloud ネットワークフォレンジック

  • GCP Network DFIRサービスの概要
  • GCP VPCの概要
  • VPCネットワーキング
  • VPCフローログ
  • ファイアウォールのルールとログ
  • GCPパケットミラーリング

FOR 509.6:マルチクラウドへの侵入に挑戦 

概要

最後のセクションでは、学生はチームに分かれて、3 つの主要なクラウドプロバイダーすべてにまたがる侵入を解決します。生徒は、この 1 週間の新しい知識をすべて参照し、侵入がどのように発生したかを調べるために証拠を分割して収集する必要があります。複数のクラウドシステムが相互に接続された状態で調査され、何が起こったのかを突き止めます。

そして、その結果をクラスで発表し、どのチームがFOR509 Lethal Forensicatorsとみなされるかを決定します。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ