SECURITY 699

SEC699 PC設定詳細

【重要】次の手順に従って構成したシステムを準備してください。

このコースへフル参加するためには適切に構成されたシステムが必要です。この指示を注意深くお読みいただいて従っていただけない場合、このコースに不可欠となっている実践型演習に参加できず、ご受講の満足度を下げてしまう可能性があります。つきましては、指定されているすべての要件を満たすシステムを用意いただくことを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ノートパソコンのハードウェア要件

• CPU： 64ビットIntel i5/i7（第8世代以降）、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
• 重要： M1/M2プロセッサーを使用したAppleシステムは、必要な仮想化機能を実行できないため、このコースには使用できません。
• 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
• 8GB以上のRAMが必要です。
• 200GB以上のストレージ空き容量が必要です。
• 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
• ワイヤレスネットワーク（802.11規格）が必要です。教室での有線インターネットアクセスはありません。

このコースの追加要件

• このコースで実習を行うには、Amazon Web Services（AWS）のアカウントが必要です。SANSは、ライブおよびライブオンラインイベントの期間中、AWSアカウントを提供します。ただし、教室外での使用やOnDemand受講者には、AWSアカウントは提供されません。授業開始前にAWSアカウントを作成してください。使用可能なAWSアカウントにアクセスできない場合、ハンズオンラボの実行が遅れます。
• このクラスで個人的なAWSアカウントが必要な場合、見積もり費用は約50ドルですが、ラボの指示から外れた場合はそれ以上になる可能性があります。

ノートパソコンのホストOS要件とソフトウェア要件

• ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
• 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
• Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
• アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
• VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+（Windows10ホスト用）、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+（Windows11ホスト用）、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+（macOSホスト用）をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送付されます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
• Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
• 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、多くは40～50GBの範囲で、中には100GBを超えるものもあります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

SEC 699は、パープルチームに関するSANSの先進的なコースです。このコースでは、データ侵害の防止・検知のための攻撃者エミュレーションに重点を置き、現実の企業や組織の環境に脅威アクターをエミュレートする方法について学習します。このコースの目標は、どのように攻撃者の技術をエミュレート・検知できるかを受講生に教示することにあります。

SEC 599コースとつながりを持つ高度なSANSのコースであり、授業時間の60%が演習に充てられています。主な内容には次の項目を含みます。

• Ansible、Docker、Terraformなどの一般的な自動化戦略に関する講義。こうしたツールにより、マルチドメインのエンタープライズ環境を構築して、ボタンを押すだけで攻撃者をエミュレートが可能となります
• パープルチーミングのための適切なプロセス、ツール、およびプランニング
• CovenantやCalderaなどのツールを使った、APT-28、APT-34、Turlaのような現実世界での脅威アクターを模した攻撃者エミュレーション計画立案
• Kerberosデリゲーション攻撃、攻撃面の縮小、Applockerのバイパス、AMSI、プロセス・インジェクション、COM Objectハイジャッキングなどの詳細
• 上に挙げた手口を検知するためのSIGMAルールの作成

コースの執筆者であるErik Van Buggenhout (SEC 599コースのメイン著者) とJames Shewmaker (SEC 660コースの共著者) は、いずれもGIAC認定セキュリティエキスパート (GSE) で、レッドチームとブルーチームにおけるインシデント対応、セキュリティ監視、スレット・ハンティングなどを通じ、サイバー攻撃がどのように行われるか深く理解しています。このコースでは、これらのスキルセットを組み合わせて、データ侵害の防止とその検知のための攻撃者エミュレーションについて受講生に解説します。

ビジネス上の要点

• 現実的な敵のエミュレーション計画を構築し、組織の保護を強化する
• アプリケーション・ホワイトリストのバイパス、クロスフォレスト攻撃（デリゲーションの悪用）、ステルス永続化戦略など、高度な攻撃の実現
• 高度な敵のテクニックを検出するためのSIGMAルールの構築

• ペネトレーションテスター
• エシカルハッカー
• アタッカーの方法論、ツール、手法をよりよく理解したい防御担当者
• レッドチームメンバー
• ブルーチームメンバー
• パープルチームメンバー
• 攻撃の戦術をよりよく理解したいフォレンジックの専門家

本講座受講にあたっての前提

このコースは「レッドチームとブルーチームでの活動で必要とされる高度なテクニックを学びたい」という、強い意志を参加の前提としており、テンポが速い上級者向けのコースです。このコースの受講準備、または受講の補完として、次の各コースのご受講をお勧めいたします。

• SEC 599
• SEC 560

プログラミング経験があることを強く推奨します(どのような言語でも構いません)。少なくともプログラミングの基本的な概念は学んでおくことをお勧めします。

5日間にわたるSEC 699のコースは、次のように構成されています。

• 1日目は、攻撃者エミュレーションとパープルチーミングを成功させるために必要となる基盤を構築します。このコースは上級者向けであるため、使用するツールについて詳しく説明するだけではなく、既存のツールをさらにカスタマイズする方法についても学びます。
• 2~4日目は、検知のための戦略にポイントをおき、様々な手口とそれに対する防御について徹底的なハンズオン演習で学んでゆきます。2日目は初期アクセスにおける手口にフォーカスし、3日目は組織内部でのラテラル・ムーブメントと特権の昇格、4日目は永続化を取り扱います。
• 5日目は、3つの異なる脅威アクターについてのエミュレーション計画を作成します。エミュレーション計画はCovenantやCalderaで実行します。
• 受講生は授業終了後1週間、CTFの個人練習場を利用することができる。