Advanced Incident Response Training, Threat Hunting and Digital Forensics Course

FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

Associated Certification: GIAC Certified Forensic Analyst (GCFA)

CPEs: 36

   

OnDemand: 4 months of access

Price: $7,020

インシデントレスポンスと脅威ハンティングを徹底的に取り扱うこのコースでは、APTのような国家が関与する敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内に侵入する様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダーやハンターが、現実世界の侵害行為を正確に検知、対抗、対応するためのインシデントレスポンスと脅威ハンティングにおける戦術と手法をハンズオンにより提供します。

インストラクター: Rob Lee


       FOR508 OnDemand is now available with Japanese subtitles


ADVANCED THREATS ARE IN YOUR NETWORK - IT'S TIME TO GO HUNTING!

「FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics」は、以下の項目を理解することに主眼が置かれています。

  • いつ、どのように侵害が起きたのかを検知する
  • 侵害されたシステムとその影響の広がりを特定する
  • ダメージを測定し、どのデータが持ち去られたか、どのデータが改ざんされたかを特定する
  • インシデントを封じ込め、修復する
  • 脅威インテリジェンスに関する主要なソースを開発する
  • 攻撃者の知識を利用して他の侵害をハントダウンする

このコースでは、実際に起こったAPT攻撃によって侵害された組織をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に対抗するために、SIFTワークステーション上の多くのツールを使用して、課題と解決策を導き出します。

侵入と脅威ハンティングの演習では、最初の標的となった攻撃の発生場所と、攻撃者がそこからどのようにして複数のシステムに水平展開したかを特定します。これにより、重要なサイバースレットインテリジェンスを抽出して作成し、脅威の範囲を適切に特定して、将来の侵害を検知するのに役立てることができます。

標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検知、範囲特定、停止などの一連の対応ができる技術を提供します。

GATHER YOUR INCIDENT RESPONSE TEAM - IT'S TIME TO GO HUNTING

FOR508コーストピック

  • インシデントレスポンスとデジタルフォレンジックを効果的に実行するための様々なオープンソースツールとSIFTワークステーションの高度な使用法
  • 国家が関与する敵対者、組織犯罪、ハクティビストなどの高度な敵に対抗するためのハンティング・レスポンステクニック
  • 侵害を迅速に特定するための脅威ハンティングテクニック
  • 迅速なインシデントレスポンス分析と侵害評価手法
  • インシデントレスポンスと侵入フォレンジックの手法
  • リモート環境を含むエンタープライズインシデントレスポンスシステム分析
  • Windowsライブインシデントレスポンスとトリアージデータのスケーリングコレクション
  • PowerShellやWMIなどを含む「Living of the Land」攻撃の調査と対策
  • インシデントレスポンス・脅威ハンティング中のメモリ解析
  • メモリ解析のスキルをEDRプラットフォームに移行する手法
  • Windowsエンタープライズ認証情報の侵害と保護に関する詳細な手順
  • ラテラルムーブメント(水平展開)の検知と分析手法
  • 迅速かつ詳細なタイムラインの作成と分析
  • 脅威ハンティングとインシデントレスポンスのためのボリュームシャドウコピーのエクスプロイテーション
  • アンチフォレンジックと隠蔽手法の検知
  • 未知のマルウェアの発見手法
  • 脅威インテリジェンスの開発、侵害の指標、およびその使用方法
  • サイバーキルチェーン戦略
  • 侵害事例に調査・対応するための段階的な戦術と手順

Course Syllabus

Overview

あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

インシデントレスポンダーは最新のツールを活用して、組織内のスキャン技術やメモリ解析技術などを駆使しながら侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、調査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、組織内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは分からない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。

このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して数百または数千のシステムに接続してスクリプトを実行することができます。この機能は、新しいインシデントレスポンス技術のベンチマーク、利用促進、実証に使用されます。これにより、レスポンダーは組織全体のネットワークの侵害指標を探すことができます。

Exercises
  • SIFT Workstation オリエンテーション
  • リモートエンドポイントデータコレクションへのアクセス
  • 防御回避手法 - マルウェアの防御回避とその検知
  • コアWindowsプロセスの理解
  • 永続性 – マルウェアの永続性の検知と分析
  • 悪意のあるWMIイベントコンシューマの発見と分析

Topics
  • 実際のインシデント対応戦略
    • 準備:侵入に対して適切な対応をするためにインシデントレスポンスチームが必要とする主要なツール、技法、および手順
    • 識別/スコーピング:インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
    • 封じ込め/インテリジェンス開発:脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、学習
    • 根絶/修復:現在のインシデントを阻止するために必要な重要なステップの決定と実行
    • 復旧:類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
    • 「場当たり」的対応の回避:即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない

  • 脅威ハンティング
    • ハンティングと受動対応
    • インテリジェンス主導のインシデント対応
    • 継続的なインシデント対応/脅威の脅威ハンティングの構築
    • フォレンジック分析と脅威ハンティング
    • 脅威ハンティングチームの役割
    • ATT&CK-MITREの対抗戦術、技術、共通知識(ATT&CK™)

  • 企業における脅威ハンティング
    • 侵害されたシステムの特定
    • 活動中、休止中のマルウェアの発見
    • デジタル署名されたマルウェア
    • マルウェアの特徴
    • 一般的な隠蔽のメカニズム
    • 正常を理解して悪を見つける
    • 一般的なWindowsサービスとプロセスについて
    • svchost.exeの悪用

  • インシデント対応とエンドポイント間のハンティング
    • WMICとPowerShell
    • Kansaによるインシデント対応とハンティングエンドポイント収集

  • マルウェア防御の回避と識別
    • サービスハイジャック/リプレース
    • 頻繁な編集
    • バイナリパディング
    • パッキング/アーモリング
    • 休止状態のマルウェア
    • 有効な証明書を持つ署名コード
    • アンチフォレンジック/タイムスタンプ

  • マルウェアの持続性の識別
    • AutoStartロケーション、RunKeys
    • サービスの作成/リプレース
    • サービス障害の復旧
    • スケジュールされたタスク
    • DLLハイジャック
    • WMIイベントコンシューマ
    • ローカルグループポリシー、MS Officeアドイン、BIOSフラッシュなどより高度な手法

  • WMIベースの攻撃の調査
    • WMIの概要
    • キルチェーン全体にわたるWMI攻撃
    • WMIリポジトリの監査
    • WMIファイルシステムとレジストリの残留
    • コマンドライン分析とWMIログ
    • WMIプロセスの異常

Overview

攻撃者はいたるところに痕跡を残します。最高のハンターの秘密を学んでください。

サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するための様々なツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウントの監査は悪意のある操作を識別する強力な手段となります。さらに、攻撃者はネットワーク全体に移動する手段も必要とするため、それによって残される証跡を探すテクニックにも触れます。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、組織内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

Exercises
  • ShimcacheとAmcacheを利用して実行の痕跡をハント・検知する
  • メモリと未割り当て領域(unallocated space)からプリフェッチを特定・抽出する
  • イベントログの抽出・分析から認証情報の乱用を発見する
  • イベントログ分析を行い水平展開を追跡する
  • WMIとPowerShellの不正使用をハントする

Topics
  • 正当な資格情報の盗用と利用
    • Pass the Hash
    • Mimikatzを使用したシングルサインオン(SSO)ダンプ
    • トークンの盗用
    • キャッシュされたクレデンシャル
    • LSAシークレット
    • Kerberos攻撃
    • NTDS.DITの盗難

  • 実行痕跡の高度な証拠
    • プロセスの実行によって過剰に処理される攻撃TTP(Tactics、Technique、Procedures)
    • プリフェッチのリカバリーと分析
    • アプリケーション互換性キャッシュ(Shimcache)
    • Aamcacheレジストリ検査

  • 水平移動に関する攻撃TTP(Tactics、Technique、Procedures)
    • クレデンシャル技術の侵害
    • リモートデスクトップサービスの悪用
    • Windows管理者による不正使用の共有
    • PsExecの利用
    • Windowsリモート管理ツールのテクニック
    • PowerShellリモート処理/ WMICハッキング
    • 脆弱性の悪用

  • インシデントレスポンダー・ハンターのためのログ分析
    • プロファイリングアカウントの使用とログオン
    • 水平展開の追跡とハンティング
    • 疑わしいサービスの特定
    • 不正アプリケーションのインストール検知
    • マルウェアの実行とプロセス追跡の発見
    • コマンドラインとスクリプトのキャプチャ
    • PowerShellのトランスクリプトとスクリプトブロックのロギング
    • PowerShellスクリプトの難読化
    • WMIアクティビティログ
    • アンチフォレンジックとイベントログの消去

Overview

侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。

高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃グループが使用するワーム、ルートキット、PowerShell、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパートたちの独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行できるように活用の場が広がりました。このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。

Exercises
  • F-Response Enterpriseを使用したリモートエンドポイントインシデントレスポンス、ハンティング、分析
  • F-Response Enterpriseを使用したリモートエンドポイントメモリ検査
  • KAPEによるトリアージイメージの作成
  • エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
  • マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
  • メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
  • ベースラインシステムに対して侵害されたシステムメモリを比較する
  • コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
  • 分析を自動化するための侵害インジケータの採用
  • マルウェア感染したシステムのメモリイメージを分析する
    • Stuxnet
    • TDL3/ TDSS
    • Cozyduke RAT
    • Rundll32
    • Zeus/Zbot
    • Conficker
    • Sobig
    • StormWorm Rootkit
    • Black Energy Rootkit
    • WMI and PowerShell
    • Cobalt Strike Beacons
    • Custom APT command and control malware

Topics
  • リモートおよびエンタープライズ・インシデント・レスポンス
    • エンタープライズでのリモートエンドポイントアクセス
    • RemoteEndpointホストベースの解析
    • スケーラブルなホストベースの解析(1人のアナリストが1,000のシステムを調査)およびデータスタッキング
    • リモートメモリ解析

  • トリアージ、エンドポイントディテクション・レスポンス(EDR)
    • エンドポイントトリアージコレクション
    • EDRの機能と課題
    • EDRとメモリフォレンジック

  • メモリ獲得
    • Windows 32および64ビットシステムからのシステムメモリの取得
    • ハイバネーションとページファイルメモリの抽出と変換
    • 仮想マシンのメモリ獲得
    • Windows10でのメモリの変更点
    • Windows10仮想セキュアモード

  • レスポンスとハンティングのためのメモリフォレンジック分析プロセス
    • 不正なプロセスの特定
    • プロセスDLLとハンドルの解析
    • ネットワークアーティファクトの確認
    • コードインジェクションの証拠探し
    • ルートキットの兆候確認
    • 疑わしいプロセスとドライバの入手

  • メモリフォレンジックスの検査
    • ライブメモリフォレンジック
    • ボラティリティを備えた高度なメモリ解析
    • プロセスツリー解析によるWebshellの検出
    • メモリ内でのコードインジェクション、マルウェア、ルートキットのハンティング
    • WMIとPowerShellプロセス
    • 型指定された攻撃者用コマンドラインの抽出
    • Windowsサービスの調査
    • 比較ベースラインシステムを使用したマルウェアのハンティング
    • RAMからのキャッシュファイルの検索とダンプ

  • メモリ解析ツール
    • Volatility
    • Rekall & Google Rapid Response
    • Comae Windows Memory Toolkit

Overview

タイムライン解析は、デジタルフォレンジック、脅威ハンティング、インシデントレスポンスなどへの対応方法に変革をもたらします。

タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。テンポラリのデータは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで侵害の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事案を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作成し、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけでなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

Exercises
  • タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われ出したのかを特定する
  • APTグループがネットワークに侵入してアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
  • スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
  • ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトなどの証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され水平展開されたのかを観察する
  • 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ

Topics
  • タイムライン解析の概要
    • タイムライン解析による利点
    • 前提知識
    • Pivot Pointの検出
    • タイムラインコンテキストのヒント
    • タイムライン解析のプロセス

  • メモリ解析タイムラインの作成
    • メモリのタイムライン

  • ファイルシステムタイムラインの作成と分析
    • ファイルシステム別MACBの意味
    • Windowsタイムルール(ファイルコピーとファイル移動)
    • Sleuthkitとflsを使用したファイルシステムタイムラインの作成
    • mactimeツールを使用したボディファイルの分析とフィルタリング

  • スーパータイムラインの作成と分析
    • スーパータイムラインアーティファクトルール
    • プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
    • log2timeline / Plasoによるタイムラインの作成
    • log2timeline入力モジュール
    • log2timeline出力モジュール
    • psortを使用したスーパータイムラインのフィルタリング
    • ターゲットスーパータイムラインの作成
    • 自動化されたスーパータイムラインの作成
    • スーパータイムライン解析
    • ボリュームシャドウコピーのタイムライン

Overview

先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。

優秀な敵に対して、私たちは彼らを上回る能力を身に付けなければなりません。 長年にわたり、多くのインシデントレスポンダーは侵害の痕跡に関する指標(IOC)を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンスたちは、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。 本セクションでは、ファーストレスポンダーに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性がないか、デモンストレーションしたテクニックについて議論していきます。

Exercises
  • 活動中/休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
  • サイバー脅威インテリジェンス - インディケータの作成と検証
  • 標的にされた環境のドメインアドミン権限をどのようにAPTグループが奪取したのか把握する

Topics
  • サイバー脅威インテリジェンス
    • サイバー脅威インテリジェンスの重要性
    • 「キルチェーン」を理解する
    • インシデント対応および脅威ハンティング時の脅威インテリジェンスの作成と使用
    • 侵害インディケータを作成する
    • インシデント対応チームのライフサイクル概要

  • マルウェアとアンチフォレンジック検出
    • NTFSファイルシステム分析
    • マスターファイルテーブル(MFT)の重要領域
    • NTFSシステムファイル
    • NTFSメタデータ属性($ Standard_Information、$ Filename、$ Data)
    • $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
    • NTFSタイムスタンプ解析による検出
    • 常駐ファイルと非常駐ファイル
    • 代替データストリームの非表示データ
    • ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
    • ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
    • NTFSファイルシステムからデータが削除された時の挙動

  • アンチフォレンジック検出方法論
    • MFTの異常
    • タイムライン異常
    • 削除されたファイル
    • 削除されたレジストリキー
    • ファイル消去
    • タイムスタンプの調整

  • アクティブなマルウェアを使用しない侵害ホストの特定
    • 迅速なデータトリアージ分析
    • サイバー脅威インテリジェンスと侵害状況検索の指標
    • 持続性の証拠
    • スーパータイムラインのテスト
    • パッキング/エントロピー/実行可能異常/密度チェック
    • システムログ
    • メモリ分析
    • マルウェアの識別

Overview

APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される組織環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を確認します。このシナリオは、実際に国家が関与する侵害事案や金融犯罪組織、ハクティビストグループに至るまでの高度な脅威との戦いに数十年の経験を持つインストラクター陣によってまとめられたものです。

Topics
  • 侵入フォレンジックチャレンジでは各インシデントレスポンスチームはネットワーク内の複数のシステムで発生したインシデントの解析を行います。
  • チャレンジ中、各インシデントレスポンスチームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。

識別とスコープ

1. APTグループはいつ、どのようにしてネットワークを侵害したか

2. 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化

3. 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか

封じ込めと脅威インテリジェンスの収集

4. 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか

5. 侵入後、攻撃者は各システムで何を探したか

6. エグゼクティブアカウントに紐付く電子メールから受けた損害の評価

7. 盗まれたものの特定: 抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。

8. 攻撃に使用されたすべてのマルウェアを収集して一覧化

9. 攻撃者のトレードクラフトを表すホストベース・ネットワークベースの侵害指標とセキュリティインテリジェンスを開発して提示

修復と復旧

10. どのレベルのアカウント侵害が発生したかの判断。修復中にフルパスワードリセットが必要か

11. インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修復と復旧に向けた推奨手順は何か

  1. システムを再構築する必要があるか
  2. どのIPアドレスをブロックする必要があるか
  3. これらの攻撃者が戻ってきた場合の対処方法
  4. ネットワークでこれらの侵入者をもう一度検出するために、どのような提案をするか

Additional Information

このコースでは、適切に構成されたシステムが必要です。 以下の記載は最小の必須要件です。 これらの要件を満たさない場合は、演習をうまく実行できない可能性があります。指定されたすべての要件を満たすシステムを使用することを強くお勧めします。

また、受講前にシステムのバックアップを取っておくことをお勧めします。 演習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているPCでの演習はお控えください。

MANDATORY FOR508 SYSTEM HARDWARE REQUIREMENTS:

  • CPU:Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上(64bit必須)
  • 利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
  • 「Intel-VT」などの仮想化テクノロジーが利用できるようBIOS設定が変更できること

    変更が必要な場合に備えて、パスワードで保護されているBIOSにアクセスできることを必ず確認してください。

  • RAM:16GB以上(16GB以上のRAMが必須最小)
  • USB:3.0ポート必須(Type Cの場合は、Type Aへの変換アダプタも必要です) 一部のエンドポイント保護ソフトウェアは、USBデバイスの使用を妨げます。受講前にUSBドライブでシステムをテストして、コースデータをロードできることを確認してください。
  • HDD/SSD:200GB以上の空き容量 空き容量は、配付するVMをホストするために非常に重要です。
  • ローカルアドミニストレーター権限 – 絶対的に必要です!
  • NW:802.11無線LAN

MANDATORY FOR508 HOST OPERATING SYSTEM REQUIREMENTS:

  • ホストOS:Windows 10 Pro以上、Mac OS 10.12以上で、VMware(VMware Workstation 15.5VMware Fusion 11.5またはVMware Player 15.5)をインストールして実行できること
  • すべてのパッチを適用し、ドライバ等も最新の状態で、最新のUSB3.0が利用できること

受講前に以下のソフトウェアをインストールしておいてください:

  1. 事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
  2. ホストOSに7Zip(Windows OS)、Keka(Mac OS)をインストールしておいてください。

その他ラップトップの設定要件について質問がある場合は、laptop_prep@sans.orgにお問い合わせください。

  • インシデントレスポンスチームの一員で、APT組織や先進的な攻撃者からの複雑なインシデントや侵入被害に対応するため、検知、調査、侵害されたシステムの修復・復旧する一連の方法を知る必要がある方
  • 脅威をより効果的に探索したり、攻撃に対処するためのスキルをより深く学びたいスレットハンター
  • アラートに関する理解を深め、イベントのトリアージに必要なスキルを構築し、EDR機能を十分に活用しようとしているSOCアナリスト
  • デジタルフォレンジックアナリストの経験者で、ファイルシステムやメモリのフォレンジック、タイムライン解析、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
  • データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
  • 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
  • レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
  • FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方

  • SIFTワークステーション
    • このコースでは、SIFTワークステーションを広範囲に使用して、インシデントレスポンダーとフォレンジックアナリストに高度な攻撃への対応と調査の方法を教えます。
    • SIFTワークステーションには、何百もの無料のオープンソースツールが含まれており、最新のフォレンジック・インシデントレスポンスの商用対応ツールスイートと簡単にマッチングできます。
    • 仮想マシンは、実践的なクラスの演習の多用します。
    • Ubuntu Linux LTSベース
    • 64ビットベースシステム
    • メモリ使用率の向上
    • 自動DFIRパッケージの更新とカスタマイズ
    • 最新のフォレンジックツールとテクニック
    • フォレンジックに取り組む準備ができているVMwareアプライアンス
    • LinuxとWindows間の互換性
    • ファイルシステムサポートの拡張(NTFS、HFS、EXFATなど)。

  • F-Response Enterprise(エンドポイントコレクション機能)
    • インシデントレスポンダーがリモートシステムとリモートコンピューターの物理メモリにネットワーク経由でアクセスできるようにします。
    • インシデントレスポンスまたはフォレンジックツールに、組織全体で使用できる機能を提供します。
    • 侵入調査やデータ侵害のインシデント対応状況に最適です。
    • リモートシステムへの展開可能なエージェント
    • SIFTワークステーション互換
    • ベンダー中立 - ほぼすべてのツールで動作します。
    • 同時検査数 = 無制限
    • 同時に展開されるエージェントの数 = 無制限
    • 6か月のライセンスにより、F-Response Enterpriseは、職場/自宅の環境で引き続き使用できます。

  • 以下を含む電子ダウンロードパッケージ
    • APTの事例イメージ、メモリキャプチャ、SIFT Workstation 3、ツール、ドキュメント
    • SANS DFIR APT事例のデータ版演習ワークブック
    • 演習教材は250ページ以上あり、詳しいインシデント対応手順と例が記載されています。

  • ツールの使用を支援するためのSANS DFIRチートシート

  • さまざまな攻撃者を効果的に捜し出し、検出し、封じ込め、インシデントを修正するために必要なツール、テクニック、および手順を習得し習得します。
  • 組織環境内の複数のWindowsシステムにわたって、メモリ内に潜む未知、活動中、休止中のカスタムマルウェアを検出し、追跡します。
  • PowerShellやF-Response EnterpriseとSIFT Workstationを使用して、何百ものシステムに対して同時にインシデントレスポンスを実行します。
  • メモリフォレンジック、レジストリ解析や、残されたネットワーク接続を介して、コマンドアンドコントロール(C2)チャネルに送信されるマルウェアビーコンを特定し、追跡します。
  • 手がかりと最初の攻撃メカニズムを特定して侵害がどのように発生したかを特定します。
  • PowerShellやWMIの悪意ある使用方法を利用した「living of the land」テクニックを特定します。
  • ネットワーク内で攻撃者の隠れ場所を維持するために行われる、ユーティリティウェアとともにタイムスタンプを隠蔽したマルウェアを用いた高度なアンチフォレンジック技術を突き止めます。
  • SIFT Workstationのメモリ解析、インシデントレスポンス、脅威探索ツールを使用して、隠蔽プロセス、マルウェア、攻撃者のコマンドライン、ルートキット、ネットワーク接続などを検出します。
  • 詳細なタイムライン解析とスーパータイムライン解析によって、解析しているシステム上のユーザと攻撃者の活動を秒単位で追跡します。
  • ボリュームシャドウコピーと復元ポイントの解析により、アンチフォレンジック技術を使用して消去されたデータを回復します。
  • エンドポイント間での水平方向の動きとピボットを特定し、攻撃者が検出されずにシステムからシステムへと移行する様子を示します。
  • ロックされた環境でも、攻撃者がドメイン管理者権限を含む正当な認証情報を取得する方法を理解します。
  • 攻撃者が重要なデータを収集し、それらを外部収集ポイントに移動したときのデータの動きを追跡します。
  • 組織のネットワークから機密データを窃取するためにAPT攻撃者によって使用されるアーカイブおよび.rarファイルを収集・解析します。
  • 収集したデータを使用して、組織全体にわたって効果的な修復を実行します。

脅威ハンティング・インシデントレスポンスコミュニティで耳にする最大の不満の1つは、ほとんどの実際の侵入データは機密性が高すぎて共有できないといった、現実的な侵入データの欠如です。

FOR508のコース開発者は、APT攻撃に日常的に対抗するレスポンダーたちの経験に基づいて、現実的なシナリオを作成しました。彼らは、シナリオを作成するために使用された標的型攻撃「スクリプト」のレビューとガイドを支援しました。その結果、複数のエンタープライズシステムにわたる非常に豊富で現実的な攻撃シナリオが実現しました。このAPT攻撃ラボは、1週間のトレーニングの基礎となります。ネットワークは、標準のコンプライアンスチェックリストを使用して、標準の「保護された」エンタープライズネットワークを模倣するように設定されました。

  • 連邦情報セキュリティ管理法ガイドラインに従って完全な監査が有効
  • Windowsドメインコントローラー(DC)のセットアップと構成:DCは、実際のエンタープライズネットワークで見られるものと同様に堅ろう化
  • Office、Adobe、Skype、Tweetdeck、Email、Dropbox、Firefox、Chromeなど、実際のソフトウェアがインストール・利用されているシステム
  • 完全にパッチが当たったシステム(パッチは自動的にインストール)EDRエージェン
  • 国防総省のホストベースのセキュリティシステムに基づくエンタープライズA/Vとオンスキャン機能
    • エンドポイントプロテクションソフトウェア - アンチウィルス、アンチスパイウェア、セーフサーフィン、アンチスパム、デバイス制御、オンサイト管理、ホストベースの侵入防止システム(HIPS)
  • ファイアウォールは、受信ポート25と送信ポート25、80、443のみを許可

この演習とチャレンジは、ホストシステム、システムメモリ、休止状態/ページファイルなどにまたがり、実際の敵をトレースします。

  • Phase 1 - 被害ゼロの侵害とマルウェアC2ビーコンのインストール
  • Phase 2 - 権限昇格、他のシステムへの水平移動、マルウェアユーティリティのダウンロード、追加のビーコンのインストール、ドメイン管理者の認証情報の取得
  • Phase 3 - 知的財産の検索、ネットワークのプロファイル、電子メールのダンプ、エンタープライズハッシュのダンプ
  • Phase 4 - データを収集と抽出、ステージングシステムへのコピー、 .rarと複雑なパスフレーズを使用したデータのアーカイブ
  • Phase 5 - ステージングサーバから.rarファイルを抽出し、サーバのクリーンアップを実行

Statements From Our Authors

多くの専門家は、APTと先進的な高度な攻撃者について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ」と言います。これはジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。

敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。

敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダーとデジタルフォレンジックアナリストが必要です。APTを即座に検知し、根絶することができるエキスパートを必要としています。適切に訓練されたインシデントレスポンダーが唯一の防御策になる可能性があります。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高のレスポンダーになれるよう支援します。

- Rob Lee

私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデントレスポンスチームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。

私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。

- Chad Tilbury