H1 インシデント対応ハンズオン2017

このエントリーをはてなブックマークに追加

本セッションはCPEクレジットの対象です。
本セッションがScan NetSecurityで紹介されました。
日時 2017年11月29日(水) 09:30 ~ 15:45
場所 3F Room0
参加料金
<事前13,000円/当日20,000円>
内容

昨年好評だったインシデント対応ハンズオンをマイナーチェンジ。 多くの企業で採用されている環境により近づけるため、 プロキシサーバがある環境で取得したログを分析していただきます。 外部からの侵入を受けた際のWindowsログ、 ADログおよびプロキシログの分析を実践することで、ログ調査の基礎を学べます。 典型的な攻撃手法について時間をとって解説しますので、 実践と講義を通し外部からの侵入について理解を深めることができます。 攻撃手法と調査手法を学んでいただくことで、 今後のセキュリティ対策に活かしていただけると思います。

標的型攻撃によって標的組織に侵入した攻撃者は、 さまざまなマルウェアやツールを用いて組織内の情報収集や侵害活動を行います。 本セッションは、 そのような攻撃者による侵入・侵害の痕跡を発見するため、 実際に近年の標的型攻撃で使用されたマルウェアやツールがWindowsのイベントログにどのような痕跡を残すのかを学習するハンズオンです。 本ハンズオンで次のことがわかります。

  • 典型的な侵入の手口
  • 侵入の痕跡を見つけるために必要なWindowsのログ設定
  • Windowsログの調査手順
  • 侵入事例とログ調査のポイント
得られる技術
Windowsログ、ADログからの攻撃の痕跡の解析手法の基礎(去年と共通)
去年との違い
  • プロキシがある環境のログ分析となります。
  • 攻撃手法は去年と異なります。
  • 近日公開予定の簡易ツールを使ったイベントログの調査を実践します。
講師
遠藤 拓也(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 分析センター)
高橋 渉(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 分析センター)
時間 内容
09:30 ~ 10:15

ハンズオンの概要

  • トレーニングの概要
  • 標的型攻撃に関する説明
    • 侵入経路について
    • 侵入後のネットワーク内部での攻撃パターンについて
  • 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説
10:25 ~ 15:45
※途中で昼休みや休憩が入ります。

ハンズオン

  • ツールを使用したイベントログの抽出
  • ログ(イベントログ(PowerShell含む)、Proxyサーバ)からのマルウエア感染等の調査
  • Proxyログの調査
  • 侵入端末の調査
  • Active Directoryログの調査
  • 簡易ツールを用いたイベントログの調査
15:35 ~ 15:45

まとめ&質疑応答

持ち物 本ハンズオン受講用のPC
  • キーボードを使用可能なWindows OSもしくはMacOS X、Linux OSを搭載した端末 ※タブレット端末は不可
  • 無線LANを使用可能なこと
  • ソフトウェア
    • Webブラウザ(ログのダウンロードに使用)
    • zipファイルの展開ソフト
    • ログファイルを閲覧、検索する事が可能なソフトウエア
      ※grepを推奨しますが、その他大容量テキストを閲覧、 検索できるソフトでも代用可能です。 以下のどちらかのソフトウェアをインストールすれば、 Windows環境でもgrepを使用可能です。
      • Cygwin
      • GnuWin32のGrep for Windows
    • 可能であれば、Docker を使用できる環境をご用意ください。
対象者
  • 現場のシステム管理者
  • 組織のセキュリティ窓口担当者
  • インシデント分析に関心のある方
※時間割、内容、講演者等につきましては、 予告なく変更になる場合がございます。 あらかじめご了承ください。

協賛

ロゴ:JPRS
ロゴ:nominum
ロゴ:ジェイズ・コミュニケーション
ロゴ:NTTコミュニケーションズ
ロゴ:APNIC
ロゴ:SRA
ロゴ:KDDI
ロゴ:日本インターネットエクスチェンジ株式会社
ロゴ:HUAWEI
ロゴ:ISOC

メディアスポンサー

ロゴ:atmarkit
ロゴ:INERTNET Watch
ロゴ:IT Leaders
ロゴ:オライリー
ロゴ:ScanNetSecurity
ロゴ:ThinkIT

ネットワークスポンサー

ロゴ:CISCO