T9 実践インシデント対応~侵入された痕跡を発見せよ~

本セッションはCPEクレジットの対象です。

日時 2016年11月30日(水)13:15~15:45
場所 3F Room0
参加料金 事前5,500円
当日8,000円
内容

標的型攻撃によって標的組織に侵入した攻撃者は、 さまざまなマルウェアやツールを用いて組織内の情報収集や侵害活動を行います。 本プログラムは、 そのような攻撃者による侵入・侵害の痕跡を発見するため、 実際に近年の標的型攻撃で使用されたマルウェアやツールがWindowsのイベントログにどのような痕跡を残すのかを学習するハンズオンです。 本ハンズオンで次のことがわかります。

  • 侵入の痕跡を見つけるために必要なログ設定
  • Windowsログの調査手順
  • 侵入事例とログ調査のポイント

講演者
竹田 春樹(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 分析センター マネージャー)

時間 内容
13:15 ~ 13:45

ハンズオンの概要

  • トレーニングの概要
  • 標的型攻撃に関する説明
    • 侵入経路について
    • 侵入後のネットワーク内部での攻撃パターンについて
  • 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説
13:55 ~ 15:25

ハンズオン

  • ツールを使用したイベントログの抽出
  • ログを用いたマルウエア感染等の調査
    • Sysmon の導入、監査ポリシーの設定の有無による違いの確認
  • 侵入端末の調査
  • ADログの調査
15:35 ~ 15:45

まとめ&質疑応答

持ち物 本ハンズオン受講用のPC
  • キーボードを使用可能なWindows OSもしくはMacOS X、Linux OSを搭載した端末 ※タブレット端末は不可
  • 無線LANを使用可能なこと
  • ソフトウェア
    • Webブラウザ(ログのダウンロードに使用)
    • zipファイルの展開ソフト
    • ログファイルを閲覧、検索する事が可能なソフトウエア
      ※grepを推奨しますが、Excel、 その他大容量テキストを閲覧、 検索できるソフトでも代用可能です。 以下のどちらかのソフトウェアをインストールすれば、 Windows環境でもgrepを使用可能です。
      • Cygwin
      • GnuWin32のGrep for Windows
対象者
  • 現場のシステム管理者
  • 組織のセキュリティ窓口担当者
  • インシデント分析に関心のある方

※時間割、内容、講演者等につきましては、 予告なく変更になる場合がございます。 あらかじめご了承ください。

このエントリーをはてなブックマークに追加
 ハッシュタグは、#iw2016jp

協賛

メディアスポンサー

ネットワークスポンサー