デジタル・フォレンジックコース ~侵害調査の基礎訓練~
概要
| 研修グループ名 | デジタル・フォレンジックコース ~侵害調査の基礎訓練~ | 研修タイプ | ハイブリッド研修(組み合わせ) |
|---|
| 研修グループ名 |
|---|
| デジタル・フォレンジックコース ~侵害調査の基礎訓練~ |
| 研修タイプ |
| ハイブリッド研修(組み合わせ) |
研修内容
このコースは、初動対応編で確認したマルウェア(※1)をベースに、Windows環境において侵害状況を判断する上で必要となる基本的な流れを演習形式で学びます。標的型攻撃(※2)などで利用される一般的な攻撃手口(※3)に対して、初期調査の項目例としては、NTFS USNジャーナルの解析、簡易的なファイルシステム・タイムラインの追跡、レジストリ内のプログラム実行痕跡、メモリ内の文字列痕跡、イベントログにおけるログオン状況の調査などが必要となります。本格的なコンピュータ・フォレンジック調査を実施する前段階として、早期に侵害状況を把握するための簡易的な調査手法と共に、被害拡大を抑止するために必要な影響範囲の判断方法などについても学びます。
※1 RAT:Remote Access Trojan/Remote. Administration Tool
※2 APT:Advanced Persistent Threat
※3 TTPs:Tactics, Techniques and Procedures
1.NTFSジャーナル
・インシデント発生状況確認時のNTFS ジャーナルファイルの調査
・インシデント発生時のファイルシステム確認方法
2.タイムライン(ファイルシステム)
・ファイルシステムのタイムラインを用いた時系列でのインシデント発生状況確認方法
- flsコマンドを利用したタイムライン作成
- bodyファイルの処理(mactime、log2timeline)
- ファイルシステム タイムラインの確認
3.プログラム実行痕跡(プリフェッチ)
・実行されたプログラムの確認方法
- ファイルシステムの実行痕跡(プリフェッチ・ファイル等)
4.プログラム実行痕跡(レジストリ)
・レジストリに保存されているプログラムの実行痕跡
- UserAssist
- AppCompatCache
- Amcache
5.イベントログ(セキュリティ)
・痕跡の確認方法
- アカウント情報の不正利用
- 横展開(Lateral Movement)
6.認証情報の不正利用
・Windowsが利用している認証情報の取得
- メモリ
- SAM
- Windows資格情報コンテナー
・アカウントの不正利用
7.メモリイメージの分析
・取得したメモリイメージの分析
・メモリ内から得られる痕跡の確認方法
8.ファイルカービング
・ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法
・カービングによるファイル復元の方法
- ファイルのシグネチャ確認
- カービングによる削除ファイルの復元
効果(到達目標)
①Windows環境のマルウェア感染に関連して初期段階で調査すべき痕跡(アーティファクト)を理解できるようになる
②①の情報から、インシデントの影響範囲や被害状況を確認する流れを理解できるようになる
③①の調査に必要な、ファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用した削除データ復元の方法を理解できるようになる
対象
・IT技術者(インフラ系)
・情報システム・セキュリティ推進部門担当者
・SOC(セキュリティ運用)要員
・CSIRT要員(管理系・技術系)
教材
ー
前提知識
・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手口に関する知識(Persistence, Lateral Movement, Exfiltration)
関連サイト
ー
開催情報
お申し込みはこちらから
デジタル・フォレンジックコース~侵害調査の基礎訓練~ 2024/9/12~9/13 (ラック セミナールーム)(開催日:2024年9月12日~2024年9月13日)
概要
| スケジュールコード | 14911 | 研修コード | 02GFO017 | 研修タイプ | 集合研修 |
|---|---|---|---|---|---|
| 研修名 | デジタル・フォレンジックコース~侵害調査の基礎訓練~ 2024/9/12~9/13 (ラック セミナールーム) | ||||
| カテゴリ | 芝大門技術塾/ネットワーク・セキュリティ | 価格(税込) | 330,000円 | 定員(名) | 8 |
| 受講実施日数(日) | 2 | 履修時間(H) | 16 | 開催日程(期間) | 2024/09/12~2024/09/13 |
| 開催時間 | 10:00~17:30 | 開場時間 | 9:30 | 会場 | 主催元手配 |
| スケジュールコード |
|---|
| 14911 |
| 研修コード |
| 02GFO017 |
| 研修タイプ |
| 集合研修 |
| 研修名 |
| デジタル・フォレンジックコース~侵害調査の基礎訓練~ 2024/9/12~9/13 (ラック セミナールーム) |
| カテゴリ |
| 芝大門技術塾/ネットワーク・セキュリティ |
| 価格(税込) |
| 330,000円 |
| 定員(名) |
| 8 |
| 受講実施日数(日) |
| 2 |
| 履修時間(H) |
| 16 |
| 開催日程(期間) |
| 2024/09/12~2024/09/13 |
| 開催時間 |
| 10:00~17:30 |
| 開場時間 |
| 9:30 |
| 会場 |
| 主催元手配 |
研修内容
このコースは、初動対応編で確認したマルウェア(※1)をベースに、Windows環境において侵害状況を判断する上で必要となる基本的な流れを演習形式で学びます。標的型攻撃(※2)などで利用される一般的な攻撃手口(※3)に対して、初期調査の項目例としては、NTFS USNジャーナルの解析、簡易的なファイルシステム・タイムラインの追跡、レジストリ内のプログラム実行痕跡、メモリ内の文字列痕跡、イベントログにおけるログオン状況の調査などが必要となります。本格的なコンピュータ・フォレンジック調査を実施する前段階として、早期に侵害状況を把握するための簡易的な調査手法と共に、被害拡大を抑止するために必要な影響範囲の判断方法などについても学びます。
※1 RAT:Remote Access Trojan/Remote. Administration Tool
※2 APT:Advanced Persistent Threat
※3 TTPs:Tactics, Techniques and Procedures
1.NTFSジャーナル
・インシデント発生状況確認時のNTFS ジャーナルファイルの調査
・インシデント発生時のファイルシステム確認方法
2.タイムライン(ファイルシステム)
・ファイルシステムのタイムラインを用いた時系列でのインシデント発生状況確認方法
- flsコマンドを利用したタイムライン作成
- bodyファイルの処理(mactime、log2timeline)
- ファイルシステム タイムラインの確認
3.プログラム実行痕跡(プリフェッチ)
・実行されたプログラムの確認方法
- ファイルシステムの実行痕跡(プリフェッチ・ファイル等)
4.プログラム実行痕跡(レジストリ)
・レジストリに保存されているプログラムの実行痕跡
- UserAssist
- AppCompatCache
- Amcache
5.イベントログ(セキュリティ)
・痕跡の確認方法
- アカウント情報の不正利用
- 横展開(Lateral Movement)
6.認証情報の不正利用
・Windowsが利用している認証情報の取得
- メモリ
- SAM
- Windows資格情報コンテナー
・アカウントの不正利用
7.メモリイメージの分析
・取得したメモリイメージの分析
・メモリ内から得られる痕跡の確認方法
8.ファイルカービング
・ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法
・カービングによるファイル復元の方法
- ファイルのシグネチャ確認
- カービングによる削除ファイルの復元
効果(到達目標)
①Windows環境のマルウェア感染に関連して初期段階で調査すべき痕跡(アーティファクト)を理解できるようになる
②①の情報から、インシデントの影響範囲や被害状況を確認する流れを理解できるようになる
③①の調査に必要な、ファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用した削除データ復元の方法を理解できるようになる
対象
・IT技術者(インフラ系)
・情報システム・セキュリティ推進部門担当者
・SOC(セキュリティ運用)要員
・CSIRT要員(管理系・技術系)
教材
ー
前提知識
・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手口に関する知識(Persistence, Lateral Movement, Exfiltration)
関連サイト
ー
備考
ご注文後にキャンセルまたは日程変更される場合は、以下の条件に従ってキャンセル料をご請求させていただきます。
・研修開始日の16日前:100%
・通常の(HRD)公開研修とは異なります。ご注意ください。
※お問い合わせ先で「芝大門塾」を選択してお問い合わせください。
050-3180-7424
お問い合わせフォームはこちら
