Linux Enterprise Incident Response

本コースでは、今日の高度な攻撃グループやその侵入手法に対処するための基本的な調査手法を学びます。このコースには、標的型攻撃のライフサイクルのすべての段階、攻撃者の重要な証拠の入手元、効果的な解析を実施するために必要なフォレンジック分析に焦点を当てた一連のハンズオンラボが含まれています。迅速なトリアージを実施してシステム侵害を判定する方法、侵入経路の証拠を明らかにする、マルウェアの自動実行・常駐化メカニズムの把握、インシデントの影響範囲の特定に役立つ侵害インジケーター（IOC）の作成方法を学ぶことができます。

このコースを修了すると、受講者は次のことができるようになります。

• 効果的なインシデント対応プロセスの段階（準備、検知と解析、修復など）を理解する
• フォレンジック イメージ作成やライブ応答の取得など、エンドポイントのフォレンジック証拠収集の一般的な形式、メリット、制限を理解する
• 侵害された Linux システム（EXT3 / EXT4 ファイル システム、syslog、監査ログ、メモリ、VPN、ウェブシェルなど）を調査、解析するための重要な証拠の入手先を特定し、利用する
• データベースやウェブサーバー（Oracle、MySQL、PostgreSQL、Apache、nginx など）の一般的な Linux アプリケーションを監査する
• 攻撃者が認証情報、ログオン、リモート コマンド実行、シェルのアーティファクトなどのデータを使用して、侵害された Linux 環境内のシステム間を移動する仕組みを理解する
• プロアクティブな脅威ハンティングを使用して、環境全体を広範囲にわたって調査し、侵害の兆候を見つける
• ウェブログを解析し、難読化やエンコードの方法など、攻撃者が使用する一般的な手法を認識、解釈する
• 効果的な調査に役立つ一般的な構成パラメータとログに記録されたイベントを特定することで、ログの可視性を向上させ、証拠の改ざんを防止し、攻撃対象領域を縮小する

Linux システム管理者、インシデント対応担当者、脅威ハンター、SOC アナリスト。Linux システムに対して効果的なエンタープライズ・インシデント対応を実施するためのプロセスを理解する必要がある。

対面または仮想クラスルーム トレーニング

• 3 日（対面配送）
• 4 日（仮想配信）

受講者は、以下の仕様を満たすノートパソコンを携帯する必要があります。

• Windows 7 以上および MacOS 10.11 以上
• VM 専用の 2 GB のメモリと 2 個の CPU コアを備えたシステムにインストール済みの VMware または VirtualBox（受講者には USB のハイパーバイザ ソフトウェアが提供されます）
• VM 用に予約された 50 GB の HDD 空き容量
• Microsoft Office がインストール済み（推奨）
• 管理者権限またはインストール権限
• ワイヤレス接続（推奨）