SECURITY 503

Intrusion Detection in- Depth

English ››
日程 2017年2月20日(月)~25日(土)(6日間)
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Kevin Fiscus(SANSインストラクター) >> 講師プロフィール
定員 40名 英語教材・同時通訳
CPEポイント 36 point
受講料 通常価格:610,000円(税抜
オプション GIAC試験 82,500円(税抜)
OnDemand 73,000円(税抜)
NetWars Continuous 135,000円(税抜)
お申し込み

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

SEC503 PC設定詳細

提供されるLinux VMwareイメージを使用して演習を行います。Linuxのコマンドラインにある程度習熟していると演習がよりスムーズに行えます。

VMware

VMware PlayerもしくはVMware Workstationをインストールしてください。Macユーザの方はVMware Fusionをご用意ください。

VMware Player 3もしくはそれ以降のもの、または有償のVMware Workstation 6もしくはそれ以降のものを事前にインストールしておいてください。

無償のVMware Playerは以下のサイトからダウンロードできます。
https://my.vmware.com/web/vmware/downloads

30日間無償のVMware Workstation試用版は以下のサイトからダウンロードできます。サイトで無料の試用登録を行えば、VMwareからVMware Workstationの期間制限付きシリアル番号が発行されます。なお、VMware Playerには、シリアル番号は必要ありません。
https://my.vmware.com/web/vmware/downloads

Macユーザの方は、VMware Fusion 3もしくはそれ以降のものを事前にインストールしておいてください。30日間無償の試用版は以下のサイトからダウンロードできます。
https://my.vmware.com/web/vmware/downloads

ハードウェア要件

  • x86もしくはx64互換のCPU 1.5GHz以上
  • USBポート
  • 2GB以上のRAM(4GB以上を推奨)
  • 12GB以上のハードディスク空き容量
  • OSは、Windows XP/Vista/7/8/10、Mac OS X、Linux のどれか
  • Windows XP/Vista/7/8のサービスパックの指定は特になし

機密な情報が格納されているノートPCの持参は避けてください。SANSおよびNRIセキュアテクノロジーズは、盗難や侵害の被害に関する責任は一切負いません。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

コース概要

不正アクセスの被害によって組織の信用が致命的に失墜することが一般的になりました。大規模なサイバー攻撃の犠牲者になってからでは、組織を守ることはもはやできないのです!

本コースは、受講者が自信を持って自社のネットワークを守るために必要な、侵入検知に関する詳細な技術的知識、洞察力、およびハンズオンスキルを提供します。ネットワークトラフィックからインテリジェントに侵入の兆候を調べることができるようになるために、TCP/IPの基礎となる理論やHTTPなどの最も使用されるアプリケーションプロトコルから学習をスタートさせます。tcpdumpやWireshark、Snort、Broといった様々なオープンソースツールの設定と利用スキルをマスターする実践的な学習をたっぷりと行います。比較的豊富な経験を有する受講者には、より多くのチャレンジングな演習を提供しながら、現在最も先進的な実例に触れていただきます。経験の浅い受講者には、演習時にヒントを参照しながら進められるように配慮しています。それでも物足りないという受講者には、さらに追加の難問も用意しています。

この分野の世界的なエキスパートの1人であるMike Poorは、このコースのためにPacketrixというVMware ディストリビューションを作成しました。Packetrixは、その名が示すとおりパケットとトラフィック分析を実行するため機能が多くが含まれています。また、このディストリビューションには、ネットワークトラフィックを捕捉するための"pcaps"が付加されています。これは、学生がクラスの材料やデモで自分のノートパソコンに一緒に従うことができます。このpcapsは、受講生のノートPCで利用することができ、使用するネットワークトラフィックの優れたライブラリを提供します。

本コースは、侵入検知/防御に関する業務に従事する(将来従事したいと思っている)セキュリティアナリストの方々が主な受講対象です。受講当たっては、侵入検知/防御に関する実務経験は問いませんが、少なくともTCP/IPの基本的な知識を有することが前提となります(www.sans.org//media/security-training/tcpip_quiz.phpで前提知識を確認することができます) 。 また、本クラスで使用するPacketrix VMwareはLinuxディストリビューションですので、受講前にLinux環境でのコマンドライン操作にある程度精通しておくことを推奨します。

今日の脅威が増大する環境では、セキュリティを維持することが極めて困難です。サイバーセキュリティを取り巻く環境は絶えず変化しています。かつては境界防御だけでよかったものが、今日ではモバイルシステムなど複雑でより脆弱性の高い環境を守らなければなりません。したがって、侵入検知/防御に精通した技術者の需要は引く手あまたです。本コースのゴールは、自組織のセットワークを守るためのコア知識、ツール、テクニックを習熟することです。本研修後、職場に帰ったときにすぐに実践できる生きたスキルをふんだんにお教えします。

受講対象者

  • 侵入検知に関する業務に従事するセキュリティアナリスト
  • ネットワークエンジニア/アドミニストレータ
  • 技術的な分野を担当するセキュリティマネージャ
※SEC503は、GIAC(GCIA)認定試験対象コースです。

前提知識・スキル

Day 1

Fundamentals of Traffic Analysis: PartⅠ

トピック

TCP/IPのコンセプト
  • TCP/IP communications model
  • Data encapsulation/de-encapsulation
  • Discussion of bits, bytes, binary, and hex
Introduction to Wireshark
  • Navigating around Wireshark
  • Examination of Wireshark statistics
  • Stream reassembly
  • Finding content in packets
ネットワークアクセス/リンクレイヤー:Layer 2
  • Introduction to 802.x link layer
  • Address resolution protocol
  • ARP spoofing
IPレイヤー: Layer 3
  • IPv4
    • Examination of fields in theory and practice
    • Checksums and their importance, especially for an IDS/IPS
    • Fragmentation: IP header fields involved in fragmentation, composition of the fragments, fragmentation attacks
  • IPv6
    • Comparison with IPv4
    • IPv6 addresses
    • Neighbor discovery protocol
    • Extension headers
    • IPv6 in transition
Day 2

Fundamentals of Traffic Analysis: PartⅡ

トピック

Wireshark Display Filters
  • Examination of some of the many ways that Wireshark facilitates creating display filters
  • Composition of display filters
Writing tcpdump Filters
  • Format of tcpdump filters
  • Use of bit masking
TCP
  • Examination of fields in theory and practice
  • Packet dissection
  • Checksums
  • Normal and abnormal TCP stimulus and response
  • Importance of TCP reassembly for IDS/IPS
UDP
  • Examination of fields in theory and practice
  • UDP stimulus and response
ICMP
  • Examination of fields in theory and practice
  • When ICMP messages should not be sent
  • Use in mapping and reconnaissance
  • Normal ICMP
  • Malicious ICMP
Day 3

アプリケーションプロトコル・トラフィック分析

トピック

Advanced Wireshark
  • Exporting web objects
  • Extracting SMTP attachment content
  • Sample Wireshark investigation of an incident
  • Tshark
Detection Methods for Application Protocols
  • Pattern matching, protocol decode, and anomaly detection
  • Detection challenges
Microsoft Protocols
  • SMB/CIFS
  • MSRPC
  • Detection challenges
HTTP
  • Protocol format
  • Sample of attacks
  • Detection challenges
SMTP
  • Protocol format
  • Sample of attacks
  • Detection challenges
DNS
  • Its vital role in the Internet
  • The resolution process
  • Caching
  • DNSSEC
  • Malicious DNS, including Cache poisoning
IDS/IPS Evasion Theory
  • Theory and implications of evasions at different protocol layers
  • Sampling of evasions
  • Necessity for target-based detection
Real-World Traffic Analysis
  • Client attacks
  • DDoS attacks
  • Four-way handshake
  • TCP reset attack
  • Malformed DNS DoS
Day 4

オープンソースIDS: Snort and Bro

トピック

Operational Lifecycle of Open-Source IDS
  • Planning, installation, configuration, running, customization, auditing, refinement, and updating
Introduction
  • Function of an IDS
  • The analyst's role in detection
  • Flow process for Snort and Bro
  • Similarities and differences between Snort and Bro
Snort
  • Introduction to Snort
  • Planning, including deployment scenarios
  • Running
    • Modes of operation: sniffer, packet logger, NIDS
    • Plug-ins
  • Customization
    • Writing Snort rules
  • Refining
    • Solutions for dealing with false negatives and positives
    • Writing a rule for a vulnerability
    • Tips for writing efficient rules
Bro
  • Introduction to Bro
  • Planning
    • Operational modes
      • Standalone on a single host
      • Cluster on multiple hosts/cores
  • Running
    • BroControl to manage Bro
    • Running in standalone mode
    • Running in cluster mode
  • Customization
    • Understanding and deploying Bro's policy neutral features
      • Bro scripting
      • Signatures
Comparing Snort and Bro to Analyze Same Traffic
  • Examination of output from each - Snort alerts and Bro logs
  • Tips for performing Bro log correlation
  • Customizing Bro to add a new signature and raise a notice about malicious traffic
Day 5

Network Traffic Forensics and Monitoring

トピック

Analyst Toolkit
  • Ngrep, tcpflow, p0f, Chaosreader, tcpreplay
SiLK
  • Introduction of concept of network flow
  • Understand the uses for flow
Packet Crafting
  • Using Scapy to craft,read/write from to pcaps, alter, and send packets
Command and Control (C2)
  • Discussion of two common C2 methods, Tor and dnscat2
    • Introduce theory behind the methods
    • Examine traffic generated by them
    • Learn detection strategies
Network Forensics
  • Learn what it is
    • Become aware of indicators of network issues
    • Learn to investigate incidents using some sample traffic of:
      • Exploited host
      • Phishing attack
Network Architecture for Monitoring
  • Become familiar with hardware used with and for monitoring
Correlation of Indicators
  • Examination of log files
  • OSSEC
  • Understand different methods of correlation
Day 6

IDSチャレンジ

5日間の演習を通じて学習したスキル、ツールを駆使して、脆弱なハニーネットホストのトラフィックを分析します。この総合的な演習を存分に楽しんでください。様々な発見と驚きがあるはずです。作業は単独でもグループでもできますし、教材に書かれていない方法もあるかもしれません。最終日は、本コースで習得したスキルを実社会で実践するための準備をする1日です。

コースメニューへ▲   ページトップへ▲
本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。