【Next Tokyo ’24】セッションのアーカイブ動画とスライドを公開中です。生成 AI を中心とした Google Cloud のアップデートや顧客事例をチェックしましょう。

Advanced Windows Enterprise Incident Response

クラスルーム トレーニング コース

Mandiant Academy に問い合わせるMandiant Academy のコースを表示する

概要

この 5 日間のコースでは、政府、金融、政治に関する脅威グループによる侵害の識別と範囲の特定に役立つ、インシデント対応担当者向けの高度な調査手法を学びます。このコースには一連の実践型演習が含まれており、受講者は学習した内容の基礎知識を身に付けてその幅を広げ、実際のシナリオに手法を直接応用できます。

受講者は、高度な手法の特定、検知、調査、マルウェアによる難読化への対処、従来型のエンドポイント・インフラストラクチャとクラウドベース・インフラストラクチャの両方における大規模なハンティング手法の適用の方法を学習できます。このコースでは、過去および現在の攻撃者シナリオと、組織にとっての潜在的な損失を回避するために、防御者がアクティブなインシデント中に使用できる手法について説明します。

前提条件: 受講者は、コンピュータとオペレーティング システムの基礎に関する優れた知識を持っている必要があります。コンピュータ プログラミングの基礎知識と Windows の内部構造に関する経験があることが強く推奨されます。また、Mandiant の Windows Enterprise Incident Response コースや Linux Enterprise Incident Response コースを修了していることも推奨されます。

コースの目標

  • ATT&CK フレームワークを使用して、セキュリティに関する組織の戦略的な意思決定をガイドする
  • インシデント対応プロセスのステップを要約する
  • インシデント情報を経営陣や他の人に効果的に伝える方法を確認する
  • 攻撃者が使用する高度な手法の理解を示す
  • 高度な APT 脅威アクターとの遭遇時に目にする、高度でないグループではめったに使用されない、従来とは異なるインプラントのデプロイ手法について考察する
  • 難読化が使用されていることを認識する
  • YARA の概要と YARA ルールの作成方法を要約する
  • 一般的なメモリ構造のレイアウトと一般的なメモリ攻撃手法を確認する
  • さまざまな分析ツールの長所と短所を説明する
  • 利用可能な証拠のソース、証拠の収集方法、一般的な調査シナリオ、データ分析と調査に利用できるツールの概要を提供する
  • 現在の攻撃者への対応に求められるテンポの違いと、IR チームの編成および調整への影響を説明する

このコースの対象者

本コースは、標的型攻撃の調査や、侵害されたシステムのトリアージに必要な分析手順を実践的な演習で習得するための、ペースの速いテクニカル・コースです。内容とペースは、セキュリティ運用、インシデント対応、フォレンジック分析、ネットワーク トラフィック解析、ログ分析、セキュリティ診断およびペネトレーション テスト、セキュリティ アーキテクチャおよびシステム管理業務などの実施経験がある受講者を対象としています。また、CIRT チームやインシデント対応チームの管理担当者や、フォレンジック分析やその他の調査タスクを監視する必要がある役割の人物にも適しています。

仕組み

実施方法

対面式クラスルーム トレーニング

所要時間

5 日間(対面で提供)

用意するもの

インターネットに接続され、最新のブラウザ(Google Chrome など)がインストールされたパソコン。

コースの概要

このコースは以下のモジュールで構成されており、講義中はラボも用意されています。

MITRE ATT&CK

  • MITRE ATT&CK のフレームワーク
  • ATT&CK Navigator

インシデント対応プロセス

  • インシデント対応の定義
  • NIST インシデント対応プロセスの概要
  • 準備
  • 検出と分析
  • 封じ込め、根絶、復旧
  • インシデント後の活動

コミュニケーションと高度なインシデント処理

  • 準備
  • インシデント中
  • インシデント後の活動
  • ヒントとアドバイス

高度な手法

  • DLL ハイジャック
  • アプリケーション・シミング
  • COM ハイジャック
  • 拡張機能ハンドラのハイジャック
  • Windows Management Instrumentation (WMI)
  • Windows イベントログの操作

高度なインプラント

  • Internet Information Services(IIS)モジュール
  • Exchange トランスポート エージェント
  • リモート アクセス ツール

難読化

  • 難読化の概要
  • スクリプトベースの難読化
  • エンコードの難読化
  • 難読化への対処
  • 早期検出

YARA によるハンティング

  • YARA の概要
  • YARA の実行
  • YARA 構文
  • YARA 構文条件
  • ルールの作成
  • モジュールとその他のコンセプト
  • 考慮事項

メモリ分析

  • なぜメモリなのか
  • メモリの取得
  • メモリ構造の概要
  • メモリへの攻撃
  • 変動性のあるメモリの分析

スケーラビリティとスタッキング

  • 背景
  • スタッキングとは
  • 攻撃者を見つけるためのスタッキング

クラウド IR の概要

  • クラウド コンピューティングの概要
  • AWS 
  • Azure
  • Google Cloud
  • クラウド IR の手法

現在の攻撃者

  • 調査のテンポ
  • 封じ込め、根絶、存続
  • 認証情報
  • Active Defense

次のステップ

Mandiant Academy にお問い合わせいただき、詳細を確認して本日のコースの予定を決めてください。

詳細
Google Cloud
ドキュメントサポート
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
コンソール
ログイン
無料で利用開始
お問い合わせ
  • デジタル変革を加速させましょう
  • お客様がデジタル トランスフォーメーションに乗り出したばかりでも、あるいはすでに進めている場合でも、Google Cloud は困難な課題の解決を支援します。
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
  • Google の透明性の高い料金設定の手法で費用を削減
  • Google Cloud の従量課金制では、毎月の使用量と、リソース料金の前払い割引に基づいて自動的に割引が適用されます。見積もりをご希望の場合は、今すぐお問い合わせください。
Google Cloud