Windows Enterprise Incident Response

このコースでは、今日のセキュリティ脅威に対応するために必要な基本的な調査手法について学習します。早いペースで進むこのコースでは、一連のハンズオンラボで構成されており、標的型攻撃の各段階、証拠の入手元、分析の原則について説明します。習得するスキルの例としては、侵害の有無を判断するための迅速なトリアージの実施、初期攻撃ベクトルの証拠の発見、永続性メカニズムの認識、企業全体のインシデントの調査などが挙げられます。

このコースは Windows ベースのシステムとサーバーの分析に重点を置いていますが、手法や調査プロセスはすべてのシステムとアプリケーションに応用できます。このコースでは、エンドポイント、ネットワーク、およびファイルベースのフォレンジック証拠収集の一般的な形式とその制限事項と、侵害された Windows 環境における攻撃者の動きについて詳しく解説します。また、調査プロセスとエンタープライズ・セキュリティ・プログラムを強化する情報管理についても紹介します。ディスカッションのトピックには、セキュリティ・インシデントの封じ込めと修復、短期的なアクションと組織のレジリエンスを高める長期的な戦略の関連性などが含まれます。

前提条件: フォレンジック分析、ネットワーク・トラフィック解析、ログ分析、セキュリティ評価、ペネトレーション・テスト、セキュリティ・アーキテクチャとシステム管理のいずれかに携わった経験。受講者は、Windows オペレーティング システム、ファイル システム、レジストリ、コマンドラインの使用方法について実践的な知識を持っている必要があります。Active Directory、基本的な Windows セキュリティ・コントロール、一般的なネットワーク・プロトコルに関する知識があることが望ましいです。

このコースを修了すると、受講者は次のことができるようになります。

• インシデント対応プロセス（脅威の状況、標的型攻撃のライフサイクル、さまざまな攻撃者が使用する初期攻撃ベクトル、効果的なインシデント対応プロセスの段階など）について説明する
• システムをトリアージして、インシデント中に企業全体に起こったことに関する重要な問いに答える
• 学んだ教訓を応用して、環境全体（メタデータ、レジストリ、イベントログ、サービス、永続性メカニズム、実行の痕跡など）を予防的に大規模調査し、侵害の兆候がないか確認する
• 進行中の調査やインシデントに関連する情報を管理し、効果的に記録する
• 企業での調査における修復フェーズの役割を理解する
• 脅威インテリジェンス、異常検知、既知の脅威アクターの戦術、技術、手順（TTP）を活用して、脅威を探索する方法を理解する

インシデント対応チームのメンバー、脅威ハンター、情報セキュリティ担当者

対面または仮想クラスルーム トレーニング

• 3 日（対面配送）
• 4 日（仮想配信）

受講者は、以下の仕様を満たすノートパソコンを携帯する必要があります。

• Windows 7 以上
• Core i5 または同等のプロセッサ
• 6 GB（8 GB が望ましい）の RAM
• 25 GB の HDD の空き容量
• 仮想マシンは許容されます（少なくとも 4 GB の RAM を割り当てることができることを条件として）
• VM 外にインストールされた Microsoft Office
• 管理者権限またはインストール権限

受講者には、ラボブックと、必要な教材とツールがすべて含まれる USB メモリが支給されます。