NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Advanced Purple Teaming - Adversary Emulation & Detection Engineering
Purple Team
English2024年12月2日(月)~2024年12月6日(金)
1日目:9:00~17:30
2日目~5日目:9:30~17:30
オンライン
早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:1,350,000 円(税込み 1,485,000 円)
※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
このコースへフル参加するためには適切に構成されたシステムが必要です。この指示を注意深くお読みいただいて従っていただけない場合、このコースに不可欠となっている実践型演習に参加できず、ご受講の満足度を下げてしまう可能性があります。つきましては、指定されているすべての要件を満たすシステムを用意いただくことを強くお勧めします。
授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。
このコースの追加要件
コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
SEC 699は、パープルチームに関するSANSの先進的なコースです。このコースでは、データ侵害の防止・検知のための攻撃者エミュレーションに重点を置き、現実の企業や組織の環境に脅威アクターをエミュレートする方法について学習します。このコースの目標は、どのように攻撃者の技術をエミュレート・検知できるかを受講生に教示することにあります。
SEC 599コースとつながりを持つ高度なSANSのコースであり、授業時間の60%が演習に充てられています。主な内容には次の項目を含みます。
SEC699は、SEC599の自然なフォローアップです。コースの著者であるエリック・ヴァン・バッゲンハウト(SEC599の主執筆者)とジャン・フランソワ・メース(SEC565の主執筆者)は、ともにGIAC認定セキュリティ・エキスパートであると同時に、レッドチームとブルーチームの活動を通じてサイバー攻撃がどのように機能するかを深く理解している経験豊富な実務家でもあります。SEC699では、これらのスキルを組み合わせて、データ侵害の防止と検出のための敵対者のエミュレーション方法を受講生に教えます。
このコースは「レッドチームとブルーチームでの活動で必要とされる高度なテクニックを学びたい」という、強い意志を参加の前提としており、テンポが速い上級者向けのコースです。このコースの受講準備、または受講の補完として、次の各コースのご受講をお勧めいたします。
プログラミング経験があることを強く推奨します(どのような言語でも構いません)。少なくともプログラミングの基本的な概念は学んでおくことをお勧めします。
ペネトレーションテストの基礎についても十分に理解しておく必要があります。また、LinuxとWindowsを熟知していることが必須です。TCP/IPとネットワークの概念についてもしっかり理解しておく必要があります。5日間にわたるSEC 699のコースは、次のように構成されています。
「SEC 599に続き、このコースをSANS受講者のみなさんに提供できることを非常に楽しみにしています。SEC 699は、エンタープライズ・ラボ環境を活用した、ハンズオン型の攻撃者エミュレーションのコースであり、受講生からいただいた要望をもとに作成された素晴らしいコースです。みなさま、お待たせいたしました!
SEC 699の受講生は、エンタープライズ環境で適切にパープルチームの活動を行うための高度なレッドチームとブルーチームのテクニックを学びます。1週間を通して、私たちは『ヒントやコツ』を説明することにフォーカスするだけでなく、受講生自身がただしい攻撃者エミュレーションのために独自のツールを構築して利用できるようにします。これには、カスタム版のCaldera、SIGMA、Velociraptorの開発などを含みます。
SEC 699のラボ環境は、Teraformのプレイブックを使用して完全に構築されており、攻撃される可能性のある複数のドメインとフォレストをカバーしています。受講者は自分のAWSアカウントでラボ環境を稼働させることによって、受講後、数か月から数年にわたってさえもご自身での練習を続けることができます。」
- Erik Van Buggenhout
1日目の講義では、次の通り、2日目以降に向けた基礎固めをします。
※初日ではありますが、5種類の演習を徹底的に行っていきます。
第 2 章では、まず現在の攻撃戦略と初期実行時の防御に関する最新の概要を説明する。アンチマルウェア・スキャンニング・インターフェース(AMSI)のような、マイクロソフトが提供するビルトイン防御にズームインする。AMSIはどのように機能し、どの程度効果的で、回避することができるのでしょうか。その後、コースセクションは以下のモジュールに移ります:
AppLockerを使用したエンドポイントでの実行制御。Windows 7 で導入された Applocker は、悪意のあるペイロードの実行を防ぐために使用できるアプリケーション制御技術です。その効果にズームインし、いくつかの回避策をテストします。
ASR(Attack Surface Reduction)ルールを使用してエンドポイントでの実行を制御する。Windows 10で導入されたASRルールは、悪意のあるペイロードの実行を防ぐために使用できる追加のセキュリティレイヤーです。今回は、ASRルールの有効性に焦点を当て、いくつかの回避方法をテストします。
子プロセスIDスプーフィング、コマンドライン引数スプーフィング、プロセスインジェクションおよびホロリング、直接システムコールなど、多くのEDR(Endpoint Detection & Response)バイパス戦略を見ていきます。EDR ツールの台頭は、エンドポイントに対する詳細な検出と即時の対応活動を可能にする手段を組織に提供しました。これらのツールは、セキュリティの状況を一変させ、敵対者に創造的な活動を強いるようになった。注意してください、ここからかなり専門的になります...
このセクションでは、Active Directory(AD)環境におけるセキュリティ境界と、敵対者が異なるドメインやフォレスト間をどのように行き来する可能性があるかを検証します。敵対者が使用する典型的な永続化戦略と典型的な検出戦略についても見ていきます。また、以下のモジュールも紹介します。
このセクションでは、5つの特定の脅威アクターに対するエミュレーション計画を構築します: APT-33、EvilCorp、APT-28、APT-34、Turlaです。エミュレーション計画を完成させた後、Caldera、Covenant、Prelude Operatorを使用して実行します。コース終了後、受講者は企業環境に潜入または防御するための壮大なCTFにアクセスできるようになります。受講者は、コースを通じて学んだすべてのツールとテクニックを、クラス終了後7日間まで活用することができます!