ホーム > 実践!デジタル・フォレンジックコース(2) 侵害調査編~Windows環境の侵害状況調査手法~

実践!デジタル・フォレンジックコース(2) 侵害調査編~Windows環境の侵害状況調査手法~

コース基本情報

コースタイトル 実践!デジタル・フォレンジックコース(2) 侵害調査編~Windows環境の侵害状況調査手法~
コースコード SCC0082R  
コース種別 集合研修 形式 講義+実機演習
期間 2日間 時間 10:00~17:30 価格(税込) 330,000円(税込)
主催 株式会社ラック
コース日程が決定次第、ご案内いたします。マイページ会員様は「お気に入り」にご登録いただければ、日程が公開された際にメールで通知が届きます。
詳しくはお問い合わせください。

ワンポイント

人材開発支援助成金を申請予定の場合、担当営業もしくはWebにご相談ください。

重要なご連絡・ご確認事項

2019年10月以降の開催コースより、お申し込みの変更(キャンセル、日程変更)に関する規定が変更となりました。

対象者情報

対象者
・CSIRT要員(技術系)
前提条件
□実践!デジタル・フォレンジックコース(1) 初動対応編の受講または同等の知識
□Windows内部に関する基本的な知識とコマンドラインを利用した操作
□マルウェアの基本的な動作に関する知識
□標的型攻撃で利用される一般的な侵害手法に関する知識
□仮想環境(VMware)の操作

学習内容の詳細

コース概要
このコースは、初動対応編で確認したマルウェア(※1)をベースに、Windows環境において侵害状況を判断する上で必要となる基本的な流れを演習形式で学びます。
標的型攻撃(※2)などで利用される一般的な攻撃手口(※3)に対して、初期調査の項目例としては、NTFS USNジャーナルの解析、簡易的なファイルシステム・タイムラインの追跡、レジストリ内のプログラム実行痕跡、メモリ内の文字列痕跡、イベントログにおけるログオン状況の調査などが必要となります。
本格的なコンピュータ・フォレンジック調査を実施する前段階として、早期に侵害状況を把握するための簡易的な調査手法と共に、被害拡大を抑止するために必要な影響範囲の判断方法などについても学びます。

※1 RAT:Remote Access Trojan/Remote. Administration Tool
※2 APT:Advanced Persistent Threat
※3 TTPs:Tactics, Techniques and Procedures
学習目標
● ① Windows環境のマルウェア感染に関連して初期段階で調査すべき痕跡(アーティファクト)を理解できるようになる
● ② ①の情報から、インシデントの影響範囲や被害状況を確認する流れを理解できるようになる
● ③ ①の調査に必要な、ファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用した削除データ復元の方法を理解できるようになる
学習内容
1日目午前

1. NTFSジャーナル
  - インシデント発生状況確認時のNTFS ジャーナルファイルの調査
  - インシデント発生時のファイルシステム確認方法

1日目午後

2. タイムライン(ファイルシステム)
  - ファイルシステムのタイムラインを用いた時系列でのインシデント発生状況確認方法
   ・flsコマンドを利用したタイムライン作成
   ・bodyファイルの処理(mactime、log2timeline)
   ・ファイルシステム タイムラインの確認

3. プログラム実行痕跡(プリフェッチ)
  - 実行されたプログラムの確認方法
   ・ファイルシステムの実行痕跡(プリフェッチ・ファイル等)

4. プログラム実行痕跡(レジストリ)
  - レジストリに保存されているプログラムの実行痕跡
   ・UserAssist
   ・AppCompatCache
   ・Amcache

2日目午前

5. イベントログ(セキュリティ)
  - 痕跡の確認方法
   ・アカウント情報の不正利用
   ・横展開(Lateral Movement)

6. 認証情報の不正利用
  - Windowsが利用している認証情報の取得
   ・メモリ
   ・SAM
   ・Windows資格情報コンテナー
  - アカウントの不正利用

2日目午後

7. メモリイメージの分析
  - 取得したメモリイメージの分析
  - メモリ内から得られる痕跡の確認方法

8.ファイルカービング
  - ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法
   ・カービングによるファイル復元の方法
   ・ファイルのシグネチャ確認
   ・カービングによる削除ファイルの復元

ご注意・ご連絡事項

・最少催行人数に達しない場合には中止になる場合がございます。
・コース内容は変更される可能性があります。
・株式会社ラック開催コースの受講お申し込みは11営業日前まで、キャンセル・日程変更は11営業日前まで、受講者変更は2営業日前までとさせていただきます。日程変更は同一コースにつき一回限りです。

なお、キャンセル料の扱いは以下のとおりです。
・コース開始日の10営業日前以降:受講料の全額を請求
・日程変更後のキャンセル:お申し出日に関わらず受講料の全額を請求

受講者の声

<セキュリティ運用部門の方> 証拠保全の基礎を学ぶのに、非常にためになった。
<ネットワーク運用部門の方> ツールの使い方、原因の特定方法を学ぶことができ、今後の業務に役立つ研修だった。