Combined Windows-Linux Enterprise Incident Response

この集中コースでは、昨今の脅威アクターおよび侵入シナリオに対処するための基本的な調査手法を学びます。

一連のラボ演習で構成されており、標的型攻撃の段階、主な証拠の入手先、フォレンジック分析のノウハウを中心に学習します。セキュリティ侵害の有無を判断するトリアージの迅速な実施、初期攻撃ベクトルを示す証拠の調査、永続性メカニズムの理解、インシデントの影響範囲の特定に役立つセキュリティ侵害インジケーターの作成などについて学びます。

このコースを修了すると、受講者は次のことができるようになります。

• インシデント対応プロセス（脅威の状況、標的型攻撃のライフサイクル、さまざまな攻撃者が使用する初期攻撃ベクトル、インシデント対応プロセスの段階など）について説明する
• システムをトリアージして、インシデント中に企業全体に起こったことに関する重要な問いに答える
• 学んだ教訓を応用して、Windows 環境（メタデータ、レジストリ、イベントログ、サービス、永続性メカニズム、実行の痕跡など）を予防的に調査し、侵害の兆候がないか確認する
• 侵害された Linux システム（EXT3 / EXT4 ファイル システム、syslog、監査ログ、メモリ、VPN、ウェブシェルなど）を調査、解析するための重要な証拠の入手先を特定し、利用する
• データベースやウェブサーバー（Oracle、MySQL、PostgreSQL、Apache、nginx など）の一般的な Linux アプリケーションを監査する
• 攻撃者が認証情報、ログオン、リモート コマンド実行、シェルのアーティファクトなどのデータを使用して、侵害された Linux 環境内のシステム間を移動する仕組みを理解する
• ウェブログを解析し、難読化やエンコードの方法など、攻撃者が使用する一般的な手法を認識、解釈する
• 進行中の調査やインシデントに関連する情報を管理し、効果的に記録する
• 企業での調査における修復フェーズの役割を理解する
• 効果的な調査に役立つ一般的な構成パラメータとログに記録されたイベントを特定することで、ログの可視性を向上させ、証拠の改ざんを防止し、攻撃対象領域を縮小する
• 脅威インテリジェンス、異常検知、既知の脅威アクターの戦術、技術、手順（TTP）を活用して、脅威を探索する方法を理解する

このコースは、セキュリティ運用、インシデント対応、フォレンジック分析、ネットワーク トラフィック解析、ログ分析、セキュリティ診断およびペネトレーション テスト、セキュリティ アーキテクチャおよびシステム管理業務などの実施経験がある受講者を対象としています。また、CIRT/インシデント対応チームの管理者や、フォレンジック分析やその他の調査タスクの監視が必要な役割の人にも役立ちます。

教室参加型

5 日間（対面で提供）

受講者は、以下の仕様を満たすノートパソコンを携帯する必要があります。

• VMware がインストールされているノートパソコン（VMware プレーヤーが要件を満たしている）
• 仕様: Windows 7 以降または MacOS 10.11 以降
• 16 GB 以上のメモリ
• Core i7+ CPU
• 25 GB 以上の HDD の空き容量