| MANAGEMENT 517 | ||||||||||||||||||||||||||||||||
Managing Security Operations: Detection, Response, and Intelligence |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
MGT517 PC設定詳細
!!重要 – 下記の環境で設定されたシステムをお持ちください!!
Microsoft Office 2010(またはそれ以降)がインストールされたコンピュータを持ち込む必要があります。 Microsoft Excelファイルを扱う機能は必須です。 Office以外のスプレッドシートプログラムをインストールしたコンピュータを持ち込むこともできますが、コースで提供されるツールはMicrosoft Office製品でテストされているもので、他のスプレッドシートプログラムでは機能しない可能性があります。 従いまして、Microsoft Office 2010以降がインストールされているコンピュータを持ってくることをお勧めします。
ノートPCの仕様に関するその他のご質問は、laptop_prep@sans.orgまでお問い合わせください。
コース概要
セキュリティ運用の管理は、組織のセキュリティ機能のすべての側面について設計、構築、運用、および継続的な成長が必要となります。効果的なSOC(サイバーセキュリティオペレーションセンター)には多くの可変要素があり、組織の制約内で調整して作業する能力を備えたうえで設計しなければなりません。 SOCを成功させるためには、マネージャは戦術的かつ戦略的な方向性を提示し、変化する脅威環境をスタッフに伝えるとともに、従業員に指導や訓練を提供していく必要があります。このコースでは、技術的な優位性をもってリーダーシップを発揮するためのセキュリティプログラムの設計、展開、運用について解説します。
MGT517:「Managing Security Operations: Detection, Response, and Intelligence」コースは、コミュニケーション、ネットワークセキュリティの監視、脅威のインテリジェンス、インシデントレスポンス、フォレンジック、自己評価などの領域をカバーします。受講生は、セキュリティオペレーションガバナンスの確立について議論していきます:
- ビジネスの調整と継続的能力と目標の調整
- 機能領域のSOCおよび関連する目的の設計
- 機能の実行に必要なソフトウェアとハードウェア技術
- スタッフの知識、スキル、能力、スタッフの雇用と育成能力
- 実行中の操作実行について
コースメニューへ▲ ページトップへ▲
本講座受講にあたっての前提
このコースには特定の前提条件はありませんが、情報セキュリティ及びセキュリティ運用管理についての基礎知識を持たれている事をお勧めします。コースの中では、それぞれの基本については簡単に解説しますが、主にセキュリティ運用(基礎)が適用できる事に重点を置いています。詳細な技術知識は必要ではありませんが、最良の対応方針を決める上で役立つことでしょう。
コースメニューへ▲ ページトップへ▲
受講対象者
- 情報セキュリティマネージャ
- SOCマネージャ、アナリスト、エンジニア
- 情報セキュリティアーキテクト
- IT管理者
- オペレーションマネージャ
- リスク管理の専門家
- IT /システム管理/ネットワーク管理の専門家
- IT監査人
- ビジネス継続性/災害復旧のスタッフ
コースメニューへ▲ ページトップへ▲
セキュリティオペレーションのすべての機能領域を含めることは、組織のための標準化されたプログラムを開発し、必要なすべての機能を表現することを意図しています。これは大掛かりなことですが、コースの目的としては、貧弱なセキュリティ連携の起因から起こる損失を防いで、異なるスキルセットを持つチーム間で調整の統一されたイメージを提供することです。私はほとんどの縦割り組織による影響や問題を見てきました。専門家は、組織内のより大きな情報セキュリティの範囲を理解することなく、得意分野の問題点のみを見る傾向があります。組織は、セキュリティオペレーションセンターを人、プロセス、および技術の統一ではなく、ツールとして認識する可能性が高いのです。
このコースでは、サイバーセキュリティオペレーションセンター(CSOCまたはSOC)の概要を包括的に説明します。 SOCを実行するために必要な技術についての議論は、ベンダーにとらわれない方法で行われます。さらに、テクノロジは、最小限の予算だけでなく、グローバルスコープの予算の両方に対応する方法で対処されています。必要なスタッフの役割が列挙され、内部の訓練と情報共有を通じた情報提供と訓練を行うスタッフに対処して、機能領域と交換されるデータとの間の相互作用が詳述されるようになります。
コース参加後には、セキュリティ運用を実施しようとする組織で何をすべきかについてのロードマップを掴むことができるでしょう。
- Christopher Crowley
セキュリティオペレーションセンターの設計
1日目は、セキュリティオペレーションセンターの配置と展開方法に焦点を当てます。骨組みの基礎となる機能領域に続いて日々の運用を議論することによって、SOCの基本的な側面について学びます。
最初の問題として、SOCがビジネスにどのように役立つかということです。 何が構築されるのかを理解するために、SOCのビジネス・ドライバーを探索します。 各企業にはそれぞれのニーズや状況がありますが、SOCを構築するためには共通の要因が存在します。ビジネスアラインメントから、実行されるシステム分析は、実行する必要があるすべての事象を示しているので、入念に取り組む必要があります。 それには利用可能なコンポーネントとその部品がどのように適合するかを理解することが重要です。 この分析については2日目の設計と構築で行います。
演習
- SOCの正当性
- 機能メトリック
- 予算の開発
- 提案書類
トピック
- SOCの基礎
- SOCコンポーネント
- サイジングとスコープ
- SOCプログラム
セキュリティオペレーションセンターの構築
組織の安全を確保するために何をすべきかについて、明確なイメージやニーズが何であるかを分析し、利用可能なリソースがあれば、SOCの構築に着手します。構築は、組織の主要なステークホルダーが決定する運用計画から始まります。
各プロセスコンポーネント内の相互作用、入力、出力、およびアクションが識別されます。各機能領域には、各プロセスを実行するための特定のハードウェアとソフトウェアが必要です。オープンソース、安価レベル、エンタープライズレベルのソリューションがそれぞれのニーズに合わせて提供されています。利用可能なソリューションについて詳しく解説を行いますので、必要なツールの予算投資に役立ちます。
一日を通して、SOCを構築するために必要なすべての調達について学びます。
演習
- 運営委員会
- コマンドセンターとインシデント対応の相互作用
- テクノロジーマトリックス
トピック
- ガバナンスの構造
- プロセスエンジニアリング
- 技術コンポーネント
セキュリティオペレーションセンターの運用と成熟
SOCの設計と構築はプロジェクトとみなされ、操作は継続的かつ永久的に努力が必要です。システムの設計および構築が不十分であるか、または見通しが低い場合、システムの操作は困難で非効率的になってしまいます。
管理の重大な課題として、組織の規模に関して議論を行います。 SOCの現状分析の手順を提供するために、「競合する仮説の分析」、「キル・チェーン」、および「ダイヤモンド・モデル」の分析プロセスについて議論します。
スタッフ配置の仕組み、雇用方法、スタッフの継続的な訓練と更新方法について評価し、会議のスケジュール、報告する具体的な測定基準、およびSOCの機能領域内の関係を測定するために使用する特定の測定基準が示されます。
SOCが実行しなければならない標準的な操作手順を示すために、プロセスを実行する際の特定のプロセスおよびデータ関係についても解説します。
演習
- スタッフ構成
- メトリック提案
- 標準作業手順
トピック
- 人とプロセス
- 測定値とメトリック
- プロセス開発
インシデント対応管理 I
インシデント対応の詳細は、SOCの動作を示すために開発されています。 応答コンポーネントは防衛のアクションであるため、インシデント対応チームの運用は非常に詳細に対処されています。
クラウドベースのシステムを考慮した場合、インシデント対応の特殊なケースが示されますが、 クラウドでの対応能力の準備は不十分です。なぜなら、サービスの契約交渉は事件対応を適切に扱うことはめったにないからです。 クラスでは、クラウドサービス内での適切な準備と対応行動について議論します。
インシデント対応が必要な場合の是正措置の基礎として、ユーザーのトレーニングと意識が開発されます。
演習
- クラウドサービスプロバイダ
- ワークフロー開発
- レポートテンプレートの開発
- トレーニングプログラムを開発する
トピック
- クラウド
- インシデント対応プロセス
- インシデント要件の作成
- トレーニング、教育、および意識
インシデント対応管理 II
インシデント・レスポンス(IR)の運用を継続し、人員要件について詳細に検討します。 IRの運用に関する一般的な注意事項について議論し、これらの注意点を軽減するための机上演習の開発について実践します。
コミュニケーションの必要条件が記載され、インシデントトラッキング方法について解説し、応答とダメージコントロールタスクから最も成功する方法について提示されます。
インシデントに関連するコストを見積もり、追跡するためのツールを表示し、法執行機関とのインターフェース方法に関する全体的な推奨事項が提示されます。
最後に、APT攻撃者に対する適切な対応テクニックの開発です。脅威インテリジェンス、十分なスコープ識別、侵害の根絶などを活用しながら、APT攻撃による侵害を迅速に差別化するための戦略について解説します。
演習
- 机上演習
- IRピッチ
- インシデントコスト
- 法的POCs
- APTの対応
トピック
- 人員配置に関する考慮事項
- 操作の設定
- 日常業務の管理
- コストの検討
- 法的および規制上の問題
- 高度な脅威対応
