IW2019

H3 インシデント対応ハンズオン2019

CPE対象

本ハンズオンは昨年開催した「インシデント対応ハンズオン2018」をベースに、 内容を一部アップデートしています。 外部からの侵入を受けた際のWindowsログ、 Active Directoryログおよびプロキシログの分析を実践することで、 ログ調査の基礎を学べます。 典型的な攻撃手法について時間をとって解説しますので、 実践と講義を通し外部からの侵入について理解を深めることができます。 攻撃手法と調査手法を学んでいただくことで、 今後のセキュリティ対策に活かしていただけると思います。 分析に使用するログは、過去の侵入事例から得た知見に基づき、 テスト環境で攻撃を再現して得たものです。 標的型攻撃によって標的組織に侵入した攻撃者は、 さまざまなマルウェアやツールを用いて組織内の情報収集や侵害活動を行います。 本セッションは、そのような攻撃者による侵入・侵害の痕跡を発見するため、 実際に近年の標的型攻撃で使用されたマルウェアやツールがWindowsのイベントログにどのような痕跡を残すのかを学習するハンズオンです。 本ハンズオンで次のことがわかります。

  • 典型的な侵入の手口
  • 侵入の痕跡を見つけるために必要なWindowsのログ設定
  • Windowsログの調査手順
  • 侵入事例とログ調査のポイント
得られる技術
Windowsログ、Active Directoryログからの攻撃の痕跡の解析手法の基礎
日時 2019年11月29日(金) 09:30 ~ 15:45
場所 3F Room0
参加料金
<事前15,300円/当日24,000円>
内容

講師
 佐條 研(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) インシデント レスポンス グループ)
 田中 信太郎(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) インシデント レスポンス グループ)
 谷 知亮(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) インシデント レスポンス グループ)

時間 内容
09:30~10:15

ハンズオンの概要

  • トレーニングの概要
  • 標的型攻撃に関する説明
    • 侵入経路について
    • 侵入後のネットワーク内部での攻撃パターンについて
  • 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説
10:15~15:35

ハンズオン

  • ツールを使用したイベントログの抽出
  • ログ(イベントログ(PowerShell 含む)、Proxy サーバ)からのマルウエア感染等の調査
  • Proxyログの調査
  • 侵入端末の調査
  • Active Directoryログの調査
  • 簡易ツールを用いたイベントログの調査
15:35~15:45

まとめ&質疑応答

持ち物
  • キーボードを使用可能なWindows OSもしくはmacOS、Linux OSを搭載した端末 ※タブレット端末は不可
  • 無線LANを使用可能なこと
  • ソフトウェア
    • Webブラウザ(ログのダウンロード使用)
    • zipファイルの展開ソフト
    • ログファイルを閲覧、検索する事が可能なソフトウェア
      ※grepを推奨しますが、その他大容量テキストを閲覧、 検索できるソフトでも代用可能です。 以下のどちらかのソフトウェアをインストールすれば、 Windows環境でもgrepを使用可能です。
      • Cygwin
      • GnuWin32のGrep for Windows
対象者
  • 現場のシステム管理者
  • 組織のセキュリティ窓口担当者
  • インシデント分析に関心のある方
※時間割、内容、講演者等につきましては、 予告なく変更になる場合がございます。 あらかじめご了承ください。