SECURITY 555 | ||||||||||||||||||||||||||||||||
SIEM with Tactical Analytics |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC555 PC設定詳細
重要! 以下の説明をお読みになった上で、ご自身のノートPCをお持ちください。
演習を円滑に進めていただくため、受講生の方はシステムを事前に適切な状態にしていただく必要があります。コースが始まる前までに、以下の説明に目を通して設定変更などを済ませてからお持ちください。
お持ちになるPC(WindowsやMacOSX、あるいはLinuxは問いません)には、64ビットOSが動作し、仮想化ソフトウエアのVMwareのインストール済みでなければなりません。また、VMの機能を十分に活用できるようにするため、実装メモリは8GB以上を搭載したものをご用意ください。 特に注意いただきたいのは、演習で使用するVMが64ビットOSであるため、お持ちいただくノートPCも64ビット環境でなければなりません。具体的には、搭載されているCPUも64ビット、動作するホストOSも64ビットにそれぞれ対応していなければならないということです。そのためには、BIOSやUEFIでAMD-VやIntelVT-xなどの仮想化機能を有効化するだけではなく、関連するオプションも有効化しなければなりません。
本コースに参加されるにあたって、VMware Workstation 11やVMware Fusion 7 あるいはVMware Workstation Player 7 よりも新しいバージョンをダウンロードして、インストールまで済ませていただく必要があります。VMware WorkstationやFusionについては、VMwareから30日間のトライアルライセンスを発行してもらうことができます。トライアルライセンスは、VMwareのサイトから登録すると、トライアルライセンスのシリアルキーが電子メールで送られますので、期間中は大切に保管してください。
最低システム要件
- 64ビットのCPUで動作周波数が2.0GHz以上のもの(64ビット対応は必須要件です)
- BIOS/UEFIへのアクセス権限:AMD-VやIntel VT-xを有効化しなければならないため、パスワード等による制限がかけられている場合は、その制限を解除できるように準備してください。
- 8GB以上のメモリ(最低でも8GB以上が必要で、それ以上の実装メモリを推奨します)
- 有線ネットワークポート(アダプタでも可)
- 無線ネットワーク接続 802.11B/G/N/ACのいずれかで接続できること
- USB (3.0以上を推奨)
- 25GB以上の空きディスク領域
- VMware Workstation11、Workstation Player7 またはFusion7以降
- 演習で使用するLinuxのVMは、教室で配付いたします。
コース概要
多くの組織ではログ収集を実践していますが、残念ながら収集したログの分析を行う人的リソースとプロセスが不足しているケースが散見されます。さらに、様々な箇所から非常に大量のログを収集するため、適切な分析を行うにはその収集元デバイスの役割や特徴を理解しておく必要があることが、更に状況を難しくしていると言えるでしょう。本コースでは、個々人に対するトレーニングはもちろん、方法論や既存のログ解析ソリューションの強化プロセスをカバーすると共に、ログに含まれる「いつ」、「何が」、「どうして」を把握するプロセスへの理解を深めていきます。ハンズオンではSANSがスポンサーをしている無償のSIEM、「SOF-ELK」を使用して進めてゆき、実経験と大規模なデータ分析を行ううえでの考え方を習得していきます。
昨今のセキュリティ運用は「ビッグデータに」翻弄されるというよりも、むしろデータ分析をどう実施し、活用していくかが問題としてあげられるでしょう。膨大なデータを考える時、その収集した情報の内容を深く理解することに重点を置かず、複数の方法で保存と処理が行われていることを問題視する必要があるにも関わらずです。永遠とも思えるシステムの一覧や収集したログの海に溺れ、やる気を失わせる要素はいくらでもあります。この講義では、従来までの節操の無いログ収集システムから効果的運用が可能な戦略的SOCを構築するために必要な知識を提供します。
本コースは、SIEMのアーキテクチャーやプロセスを段階的に解説し、最終的にSOCを構築することを目標に設計されており、ご紹介する教材は、「適切」にSIEMプラットフォームを使用することで、膨大なログデータのなかから即座に有益な情報を抽出することが可能な内容になっています。例えば、受講生は収集されたインプット情報を、相関分析にかけることによって、有効で意味のある状態に仕立てる方法を学びます。受講生は繰り返しログ情報やイベントという鍵となる要素を分析することで、その情報の有効性を把握し、相関分析の方法を理解し、収集した複数の情報を基にした調査分析を行い、最終的に知り得た情報を使った有益だと考えられる情報の特定を行います。また、内部侵入後のおとりとなるトラップの設置方法を学習することで、洗練された侵入も素早く検知することが可能になります。コース全体を通して、受講生が現場に戻った際に活用可能な実践力を習得するために、テキストやラボの紹介に留まらず、実際に手を動かしながら操作を行うことで、紹介されているプロセスの多くを自動化する方法も同時に学習します。
基本となるテーマは、現代的なサイバー攻撃手法を駆使して、Continuous Monitoring(継続的な監視)と解析テクニックを能動的に行うことです。これを実現するため、予めキャプチャーされた攻撃サンプルデータを、ラボで再現することで実際の攻撃を体験することが可能になっているのです。
本コースを受講することで受講生は以下の準備が整うことになります。
- 商用環境に対してSANS SOF-ELK VMを導入することが可能になります。
- 商用とオープンソースSIEM(SOF-ELK)の違いと優位性の提示が可能になります。
- 受講生はSIEMの使用方法、アーキテクチャー、最適な運用方法を学習します。
- ログの中からどのようなデータを収集すべきかを学習します。
- 複数のログ収集方法を用いたスケーラブルなログソリューションの展開が可能になります。
- 通常のログを戦略的なデータに変換させます。
- 複数の異種データから取得する膨大な量のログを適切に捌く方法を学習します。
- ログ収集の最適な収集方法の理解。
- 様々なSIEMソリューションログの深堀テクニックを学習します。
- グラフやテーブルを用いた異常状況を検知します。
- アナリストが戦略的に解析を行うための複数データによる解析ダッシュボードの構築を学習します。
- 大量のデータセットの中から頻度分析を行い、攻撃者が取ったテクニックを学ぶことで、彼らの攻撃に対抗することに役だてます。
- ユーザやデバイスによるネットワーク活動状況のベースライン構築を学習します。
- ウィンドウズシステムの変更状況を検知するためのベースライン構築を学習します。
- ロングテール分析による異常行動検知などをはじめとする複数の解析の方法を学習します。
- 複数データソースの関連性や統合機能を用いてより完全な状況把握を行います。
- 標準的なアラートに対してその前後関係を提供することでその理解と優先順位の把握を行います。
- ログデータを活用することでセキュリティ管理の有効性を確立します。
- 初期侵入検知を実現するための仮想的なトラップの実装を学習します。
本講座受講にあたっての前提
- 基本的なTCP/IP知識
- ログ取得方法の知識
- 基本的なOSの知識
- ネットワークとホスト上のログシステムに対する中級程度の理解
- メッセージキューに対する知識
- CLIオペレーションに慣れていること
- 商用、オープンソースSIEMに関する知識(オプション)
受講対象者
- セキュリティアナリスト
- セキュリティアーキテクト
- 上級セキュリティエンジニア
- テクニカルセキュリティマネージャ
- SOCアナリスト
- SOCエンジニア
- SOCマネージャ
- CNDアナリスト
- セキュリティ監視
- システム管理者
- サイバー脅威捜査
- セキュリティ監視やネットワーク実装に関わる個人
- ハントチームに関わる個人
教材
設定済みSANS SOF-ELK VM
- ログデータ、パケットキャプチャデータ(Windowsイベント、DNSログ、HTTPログ、NetFlowデータ、IDSなど)
- コース講義内容を収録した音声MP3
- ラボ動画
- SOF-ELKの解説書
- 上記教材を格納したUSBメモリー
ハンズオン
SEC555は、出来る限り多くのハンズオンを通じて知識を伝達し、スキル習得を後押しします。これは従来形の講義形態を超え、テクニカルな知識の探求に役立つよう幅広いラボを準備しています。
- ログ収集ラボ
- ログ補強ラボ
- ログの相関分析ラボ
- Windowsログ分析ラボ
- NetWarsのような没頭できる環境
- NetWarsを用いた仕上げ
SEC555の教材は段階的ガイドで学習することを可能にしてあるばかりか、ハンズオンでは実践と、自分への挑戦を意識したアプローチを取ることで、自身が保有するスキルをより高いレベルに引き上げることに役立つでしょう。そして、最終的には独力でどこまで完遂することが出来るかという腕試しの場を提供しています。したがって、異なる経歴の受講生であっても、いつでも前に戻って確認することが可能で、コース内容へのハードルを下げているのです。
素晴らしい内容で構成されているDay1からDay5と、NetWarsによる体験はきっと学習を成功へ導いてくれます。このゲームは、楽しみながらスキルとコンセプトを学ぶことが出来ます。しばし組織で忘れ去られることが、ここでは現実のものとして受講生に提供されています 。
- Justin Henderson
SIEMのアーキテクチャーとSOF-ELKの紹介
不正行為に対する事後対応や未然防御の観点において、ログ収集と分析はサイバーネットワークの防御を実践するうえで極めて重要な要素になっています。これらが適切に活用されていれば、機敏な防御が可能になるばかりか、サイバーネットワーク全体の把握もし易くなるのです。ログ収集、分析製品やテクニックは、既にある程度の歴史を積み重ねた結果、より便利かつ実用に即した形になってきました。この章では、無償のログ収集、分析ツールを用いてログの分析方法とそのテクニックをご紹介します。また昨今の巨大ログから構成されるビッグデータの対応方法と無償ツールの優れた点、何故それが商用ツールの対抗馬になるのかも解説します。
SIEMのコンセプトやその最適な利用方法の理解と、以降のコースに必要な基本的な内容の理解を促します。初日には「Elasticsearch」、「Logstash」、「Kibana SOF-ELK」(Phil HagenとJustin Hendersonにより保守されている仮想マシン)を紹介し、ラボでそれらのツールに触れていただきながら、ログデータからレポーティングを体験していただきます。
演習
- SOF-ELKの導入
- ファイルやネットワークポートからのログ摂取
- 「通常」ログから高度な検出事項を掘り出すための強化方法
- 膨大な量のログに埋もれた異常行動を見つけるための可視化とダッシュボード構築
- 最先端のSOC/SIEM
- 市場統計
- 現場で直面する問題
- ログモニタリング
- 資産
- Windows/Linux
- ネットワークデバイス
- セキュリティデバイス
- データ収集戦略
- 資産
事前計画
- ログ構造
- 不完全なログ
- ログの収集と正規化
- 相関関係と前後関係
- レポーティングと分析
- 警告
- SIEMプラットフォーム
- 商用ソリューション
- 内製(独自開発)ソリューション
- SIEMのプランニング
- データ収集管理
- 収集対象
- ミッション
- SIEMの構造
- データ収集テクニックとノード
- 値の受領と操作
- 検知するためのログの拡大
- データキューとレジリエンス性
- ストレージとスピード
- 分析レポート
- 可視化
- 検出ダッシュボード
SIEMを活用したサービスのプロファイリング
大多数のネットワーク通信は、一般的なネットワークプロトコル上で発生していますが、半面、組織ではあまりにも一般的なため圧倒的な分量になるプロトコルのログを使用したり、収集したりすることは一般的ではありません。しかしこれらの情報ソースは、現代の攻撃の糸口を発見するための重要な情報源であることは認識する必要があります。
この章では、どのように膨大な分量のログを収集して取り扱うかを解説していきます。ひとつの例としてDNSサーバなどのサービスログからこれらのログを収集するための方法に関して解説すると共に、ネットワークそのものから受動的に同じデータを採取する方法についても解説します。収集したデータを増大し、意味のあるものにするためのテクニックについてもデモでご覧頂きます。
最終的には分析の原点である、まるで砂漠の中で落し物を探すような困難を打開するようなときに役立つ原理を解説します。たとえ膨大な分量のログを検索することに問題を抱えていても、分析原理により私たちが探している意味のある対象のみを表面化させることが可能になります。そのためにはダッシュボードを活用することで、意味のあるログを素早く見つけるようにするだけではなく、次に取るべきアクションと共に分析結果を導き出せるようにしておかなければなりません。
演習
- 膨大な分量のDNSのログ
- C2攻撃の検知および企業におけるHTTPデータの分析を用いた攻撃の検知
- HTTPSログと分析原理の応用を駆使した対抗戦略の使用
- 異常行動を特定するためのダッシュボードと可視化環境の構築
- 検知方法とログ分析の関連性
- 攻撃パターン
- 攻撃行動
- 異常点
- 一般的なアプリケーションログの分析は非常に多くのデータを生成する
- DNS
- アクセスがあった新ドメインの検出
- ドメイン取得や更新時期と言った追加情報の収集
- ランダムに命名されたドメインの検出
- ドメインシャドウイングの探索
- recon(偵察)活動の特定
- DNS C2(Command & Control)チャンネルの発見
- HTTP
- ビックデータを使った攻撃の検出
- Bot通信の特定
- ユーザが使用するはずのないリクエストの検出
- 不要な値のフィルタリング方法
- ランダム性
- 自動化ツールとユーザによる活動の相違点の特定
- 承認、未承認のwebクライアント特定フィルタ
- HTTP C2チャンネルの検出
- HTTPS
- 大規模分析ための更新情報
- 証明書フィールドの分析による攻撃ベクターの特定
- 証明書の正当性確認
- HTTPで使用可能なテクニックの活用
- HTTPS C2チャンネルの発見
- SMTP
- 未認証電子メールの経路特定
- 侵入されたメールサーバの検出
- フィッシングドメインのファジーマッチング探知法
- 持出しデータの検知
- ネットワークログへの脅威情報の適用
- ダッシュボードと可視化
- ネットワーク情報の相関分析
- 頻度分析テーブルの構築
- ネットワークの基本指針策定
応用的なエンドポイント分析
エンドポイントログの価値は、非常に有益な情報を提供し、攻撃検知を行う上で何物にも変えがたいほど重要なものです。しかしたった一台のデスクトップ端末でさえ日に10万件以上のイベントが発生するものです。これを実際の環境に当てはめた場合、組織がログ分析の業務負荷に圧倒されてしまうのもの無理はないはずです。
この章では、システムログを収集するうえでの方法と、その理由について解説します。数々のログ収集方法とツールは、ハンズオンによって経験値を上げることに役立つと共に、サーバやワークステーションから無限に生成されるデータを、ハンドリングとフィルタリングによってシンプルな形にすることができるようになります。
現代の攻撃ベクターを知ることは非常に重要なため、ワークステーションにおけるログ施策については特に深く解説していきます。何故なら、現代の攻撃はワークステーションから始まり、そこから拡散されていくと言われているからです。
演習
- エンドポイントログのフィルタリング
- Windowsイベントを使用した侵入の検知
- システムログを使用した内部ピボット活動の特定
- コマンドラインロギングを使用したエクスプロイトの痕跡検知
- ロングテール分析を適用したプログラムの異常使用の特定
- エンドポイントログ
- 値の理解
- 収集方法
- エージェント
- エージェントレス
- スクリプト
- ロギングの追加
- EMET
- Sysmon
- グループポリシー
- Windowsフィルタリングとチューニング
- 攻撃者パターン別クリティカル事象の分析
- エクスプロイト予兆の発見
- 内部偵察の予兆の発見
- 持続フェーズの発見
- 権限エスカレーション
- 足がかりの確立
- トラックのクリーンアップ
- ホストベースファイアウォールのログ
- 内部ピボッティングの検知
- 未認証実行ファイルの特定
- スキャン活動の閲覧
- 資格盗難と悪用
- 複数回の失敗ログイン
- 未認証アカウントの使用
- PowerShellのモニタリング
- PowerShellロギングの設定
- Identify obfuscation
- 現代的攻撃の特定
基本動作とユーザによる活動の監視
己を知ることが時として防御戦略の最大の鍵になりますが、これを達成するのは容易なことではありません。資産を棚卸し、組織が所有するものとそうでないものを台帳として保持することなどは困難な事柄の代表です。タスク自体は簡単ですが、日々発展するネットワーク環境に追随する形で台帳の保守を行うことは非常に難しいことになっています。
この章では、自動的に資産台帳とそれらの設定の整備、またそれらの資産が承認か未承認かを区別する方法およびテクニックについて説明します。実態に極めて近い忠実度のデータを提供するポイントについて解説するとともに、複数のデータソースから相関性を維持しつつ統合するテクニックを用いることで、最終的にマスターとなる棚卸し台帳の作成を行います。
適用するネットワークと、システムの基本テクニックに関するハンズオン経験を積むことは、もうひとつの己を知る方法です。ネットワーク通信の監視を行うことで、例えばC2ビーコンやユーザによる異常な振る舞いを特定することが可能になります。
最終的には、膨大な分量のエンドポイントデータを取捨選択をするために、大容量データの分析テクニックを適用していきます。このテクニックを活用することで、持続フェーズで使われるメカニズムやデュアルホームデバイスなどの検出に役立てることができるでしょう。
演習
- 詳細情報を含む棚卸し台帳の作成
- 未承認のプログラムとプロセスの発見
- データフロー分析による暗号化されたC2の特定
- 大規模なベースライン分析を活用した侵入痕跡の発見
- 承認・未承認資産の特定
- アクティブ資産の発見
- スキャナー
- ネットワークアクセスコントロール
- パッシブ資産の発見
- DHCP
- p0fやpradsなどのネットワークリスナー
- NetFlow
- スイッチのCAMテーブル
- マスター台帳への資産情報の適用
- 付随情報の追加
- 脆弱性情報
- 承認・未承認デバイス
- 承認・未承認ソフトウェアの特定
- 情報元の収集
- 資産管理システム
- パッチ管理
- 許可リスト(ホワイトリスト)ソリューション
- プロセス監視
- 未承認ソフトウェアの発見
- 基本データ
- Netflowやファイアウォールからのネットワークデータ
- アウトバウンドフローを活用した未承認アクセスや資産の発見
- 想定されるインバウンド・アウトバウンドプロトコルの比較
- 持続フェーズ状態やビーコンの発見
- 位置情報とリバースDNS lookupの活用
- デバイス間連携の確立
- ラテラル移動の特定
- アウトバウンド通信の閾値設定
- パターン別ログオン状況の監視
- 時間ベース
- 同時ログオン
- ユーザ毎のログオン
- アクセスデバイス毎のログオン
- 複数の位置情報
- エンドポイント基本監視
- 基本的なデータ収集設定
- 大規模な持続性監視
- 異常ユーザアカウントの検知
- デュアルホームデバイスの発見
戦術的なSIEM利用による検出と事後分析
ネットワーク上には、複数のセキュリティデバイスが存在していますが、それらを個別に設置しているケースがよく見られます。アナリストは、専門分野毎に分割される傾向にあり、IDSの専門家はIDSを得意とするように特定の分野にフォーカスしています。しかし、単一のセキュリティデバイスからのアラートのみでは、事象の詳細が分かりにくく、似通った情報により真実が見えにくくなるケースが多くあるのです。
この章では、複数のセキュリティログを組合わせることで実現する統合分析に焦点を置き、アナリストにとってより有益な情報を提供するために、複数ソースを組合わせる方法を解説していきます。また、分析の結果と併せて資産情報も提供しようとした場合に、アナリストの分析時間を優先することが、組織にとってどれだけ貢献できるのかについても解説します。
セキュリティアラートの最適化の方法を学んだ後は、仮想的な罠を導入してログを取得する新しい方法の習得へと進んでいきます。当然のことですが、攻撃者によるネットワークへの侵入を防御できるケースもありますが、残念ながらそれは永続的ではなく、いずれ侵入を許してしまいます。また、侵入そのものはその後に起きる事象の始まりにしか過ぎません。敵はゴールに近づくために、システムとネットワークをくまなく徘徊します。この習性を逆手に取り、対策としてログ収集型のtripwire(仕掛け)を導入することで、素早く攻撃者や攻撃の検知と対応が可能になるのです。
演習
- 前後関係のあるログを含んだセキュリティアラートから実際の攻撃を特定します
- 有効なセキュリティコントロールの構築と未承認のアウトバウンド通信の監視
- 早期検知を行うためのログデータを用いた仮想tripwireの構築
- 過去検知できなかった侵入に対する事後調査の実施
- NIDSとHIDSアラートの統合
- エンドポイントセキュリティログの分析
- 代替分析法
- より良いレポート促進のためのタグ付け設定
- 増大する侵入検知アラート
- CVE、OSVDBなどの抽出による前後関係の把握
- 位置情報といったルール情報の取り込み
- 脆弱性情報の分析
- 脆弱性報告
- CVE、OSVDBやその他のIDとIDSアラートの相関分析
- ファイアウォールの監視
- スキャン活動の中で拒否されたインバウンド通信特定
- アラート発呼時の自動応答の適用
- 予期せぬアウトバウンド通信の特定
- 予期せぬ変更を特定するためのAllow/Deny基本設定
- 拒否した通信におけるノイズ排除フィルタテクニックの適用
- SIEM tripwire
- 侵入時における早期ログアラート生成のためのシステム設定
- *ファイルおよびフォルダへのスキャン行動の特定
- *ユーザ毎のトークン盗難の特定
- *統合ロギングが可能な仮想ハニーポットの運用
- *フォーンホームの追跡
- ネットワークトラフィックの再分析
- *悪意ドメインとIPの特定
- *ビーコン行動の探査
- 不可解な定期的行動の特定
- 脅威情報を活用したuser-agentなどのフィールドの再調査
- ハッシュを活用した壊れたファイルの再評価
まとめ: デザイン、検知、防御
コースの仕上げはチームに分かれてデザイン、検知、防御のレベルを競うCTF競技です。最終日はこれまでに習得した原理原則を存分に発揮して、さらなる理解を得るためにNetWarsを利用したハンズオンとしています。
講義の中で共有してきた最新のサイバーディフェンステクニックを十分に理解し、習得出来るようにデザインされたCTFで、複数のレベルとミッションをチーム単位で遂行することで、参加者はさらに進歩することができるでしょう。
- 防御CTF:ハンズオン