mypage マイページ cart カート
コース検索
サイト内検索


ホーム > SEC504 Hacker Tools, Techniques, and Incident Handling

SEC504 Hacker Tools, Techniques, and Incident Handling


期間  6日間 時間  9:00~19:45
価格(税込)  1,199,000円(税込) 主催  NRIセキュアテクノロジーズ株式会社
形式  講義+演習(Virtual Classroom) コースコード  SCC0505R
コース日程が決定次第、ご案内いたします。マイページ会員様は「お気に入り」にご登録いただければ、日程が公開された際にメールで通知が届きます。
詳しくはお問い合わせください。

ワンポイントアドバイス

■SEC504は、GIAC(GCIH)認定試験対象コースです。

受験をご希望の場合、同時に「GIAC試験バウチャーバンドルオプション」をお申し込みください。
※試験バウチャーはSANSトレーニングのセット購入の場合のみご購入可能です。
(試験バウチャーのみのご購入はお断りさせていただきます)


※GIAC試験については、研修終了7~10日後に個人ポータルリンクからPearsonVUEのサイトへ移動し予約する手順となります

 バウチャ利用方法等の詳細は研修中にご案内します(トレノケートからのご連絡ではありません)。


■SANSトレーニングにご参加いただく際には、ページ下部の関連付加情報に掲載した「受講に必要なPC環境」(外部サイト)をご確認いただき、準備の上、実習/演習内容詳細欄に記載のスペックを満たしたPCをご持参ください。


■接続方法や演習環境のダウンロード方法などは、コース開始の1週間前にメールにてご案内させていただきます。


・弊社経由で他社主催研修へお申込みの場合、弊社が「訓練の実施機関」ではないため、人材開発支援助成金の申請書類にトレノケートは署名できません。「主催」欄をご確認ください。本研修コースはトレノケート経由のお申込では人材開発支援助成金の申請ができない旨を予めご了承のうえ、お申込みください。

重要なご連絡・ご確認事項

SANSの受講者ポータルサイトに登録のため、
・氏名英語表記
・会社名英語表記
・部署名英語表記
が必要です。(必須)
お申し込み時には、備考欄に上記情報のご記入をお忘れなくお願いいたします。

■無償キャンセル期間について
 開催日の46日前(弊社の休業日の場合はその前営業日)まではキャンセル料は発生いたしません。

■受講者変更期間について
 上記記載のポータルサイトを作成していない場合に限り、開催日の30日前(弊社の休業日の場合はその前営業日)までのご連絡であれば変更が可能です。

講義時間は、
1日目  :9:00 ~ 19:45
2~6日目 :9:30 ~ 17:30
となります。

※SEC504は、GIAC(GCIH)認定試験対象コースです。

対象者情報

対象者
・インシデントハンドリングチームに属する方
・インシデントハンドリングチームリーダー
・システムの防御と攻撃への対応の最前線にいるシステム管理者
・システムが攻撃を受けた時に最初に対応するセキュリティ担当者
・攻撃を防止、検知、および対応するためにシステムを設計、構築および運用したい一般的な・セキュリティ関係者およびセキュリティアーキテクト

学習内容の詳細

コース概要
最近のクラウドやオンプレミスのシステムでは、侵害を防ぐことが目標とされていますが、実際には検知と対応が重要となります。組織を侵害から遠ざけるには、企業の損失を最小限に抑えるためのインシデント対応をいかにうまく処理するかにかかっています。

SEC504では、インシデント対応にダイナミックなアプローチを適用する方法を学びます。侵害の指標を用いて、Windows、Linux、クラウド・プラットフォームに影響を与える侵害に効果的に対応するための手順を学習します。このコースで得たスキルと実践的な経験を現場に持ち帰り、すぐに適用することが可能です。

インシデントレスポンスを効果的に行うための手順を理解することは、方程式の一部分に過ぎません。インシデントレスポンスを効果的に行うための手順を理解することは、方程式の一部に過ぎません。初期の侵害から内部ネットワークの横展開まで、攻撃者が組織に対して取る行動を完全に把握するためには、攻撃者のツールとテクニックを理解する必要があります。SEC504のハンズオン環境では、攻撃者自身が使用するツールを用いて、その方法や攻撃者が残したアーティファクトを理解することができます。攻撃者の考え方を理解することで、攻撃者がどのように組織に対して取引を行うのかを知ることができ、攻撃者の動きを予測し、より優れた防御策を構築することができます。

SEC504では、以下のことを学びます。

・インシデントレスポンスにダイナミックなアプローチを適用する方法
・ホスト、ネットワーク、ログの分析による脅威の特定方法
・効果的なクラウドインシデントレスポンスのためのベストプラクティス
・ライブ解析、ネットワークインサイト、メモリーフォレンジックを用いたサイバー調査プロセス
・重要資産を守るための防御スポット戦略
・エンドポイント検出ツールを回避するための攻撃者のテクニック
・複雑なクラウドの脆弱性を悪用する攻撃者の手法
・最初の侵害後に横展開するための内部情報を発見するプロセス
・システムのアクセス制御を回避するための最も効果的な攻撃方法
・攻撃者が使う巧妙なテクニックと、それを阻止する方法
学習内容 
※本コースは、日本語講座・一部日本語教材での実施となります。

Day 1 インシデントレスポンスとサイバー調査
  - インシデントレスポンス
  - デジタル調査
  - ライブレスポンス
  - ネットワーク調査
  - メモリ解析
  - マルウエア解析
  - クラウド調査
  - ブートキャンプLinuxオリンピック

Day 2 情報収集、スキャン、列挙手法
  - MITRE ATT&CK Frameworkの解説
  - オープンソース・インテリジェンス
  - DNS Interrogation
  - ウェブサイトの偵察
  - Nmapによるネットワークとホストのスキャン
  - クラウドスキャン シャドークラウドのターゲットを列挙
  - Server Message Block (SMB) セッション
  - DeepBlueCLI

Day 3 パスワード攻撃と不正アクセス
  - パスワード攻撃
  - パスワードハッシュの理解
  - パスワードクラッキング攻撃
  - Domain Password Audit Tool(DPAT)
  - 安全でないストレージ
  - 多目的なnetcat

Day 4 外部からの攻撃とDrive-By攻撃
  - Metasploit Framework
  - Drive-By Attack
  - ディフェンススポットライト:システムリソース利用量モニタ(SRUM)
  - コマンドインジェクション
  - クロスサイトスクリプティング(XSS)
  - SQLインジェクション
  - SSRFとIMDSの攻撃

Day 5 回避と侵入後の攻撃
  - エンドポイントセキュリティ製品の回避
  - ピボッティングと横展開
  - ハイジャック攻撃
  - 足跡隠ぺい
  - 永続性の確立
  - ディフェンススポットライト:Real Intelligence Threat Analytics (RITA)
  - データ収集
 - クラウドエクスプロイト
  - コース終了後のゴールは?

Day 6 Capture the Flagイベント
  - ターゲットの発見とエニュメレーション
  - オープンソース・インテリジェンスの活用と偵察情報の収集
  - 公開された資産の危殆化
  - 電子メールの危殆化
  - Windows Active Directoryへの攻撃
  - パスワード・スプレー、推測、およびクレデンシャル・スタッフィング・アタック
  - 搾取後のピボットとラテラルムーブメント
  - エクスプロイトの選択、設定、配信
  - 内部攻撃者のコンプロマイズ アトリビューション

実習/演習内容詳細

ソフトウェア
ハードウェア
SEC504 PC設定詳細

!重要!次の手順に従ってシステムを構成してください。

このコースの全てに参加するためには、適切に設定されたシステムが必要です。この説明をよくお読みになり、それに従っていただかないと、このコースに不可欠なハンズオン演習に参加することができず、満足のいく講義を受けていただくことができません。したがって、このコースで指定されたすべての要件を満たすシステムを用意することを強くお勧めします。

授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないことを強くお勧めします。

【ノートパソコンのハードウェア要件】
CPU
・64ビットインテルi5/i7 2.0GHz以上のプロセッサー
・要注意:M1プロセッサを使用したAppleシステムは、現時点では必要な仮想化を実行できないため、このコースには使用できません。
・システムのプロセッサは、64ビットのIntel i5またはi7の2.0GHzプロセッサ以上である必要があります。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「詳細情報」の順にクリックします。プロセッサの情報は、ページの下部に表示されます。Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。

BIOS
・"Intel-VT "が有効になっていること
・インテル社のVT(VT-x)ハードウェア仮想化技術は、システムのBIOSまたはUEFIの設定で有効にしてください。講義中、システムのBIOSにアクセスできるようにしてください。BIOSがパスワードで保護されている場合は、そのパスワードを知っている必要があります。これは必ず必要になります。

RAM
・16GBのRAMを強く推奨します。
Windows 10上で確認するには、Windowsキー+「I」キーを押して、「システム」、「バージョン情報」(もしくは「詳細情報」)の順にクリックします。
Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。

ハードドライブの空き容量
・VMや配布する追加ファイルをホストするためには、100GBのハードドライブの空き容量が必要です。また、仮想マシンを機械式ハードドライブよりもはるかに高速に動作させることができるSSDドライブの使用を強くお勧めします。

オペレーティングシステム
・最新のWindows 10、macOS 10.15.x以降、またはLinuxを搭載し、以下に説明するVMware仮想化製品をインストールして実行できるシステムであること。

その他のソフトウェア要件
・VMware Playerのインストール
VMware Workstation Player 16、VMWare Fusion 12、またはVMware Workstaion 16
VMware Player 16、VMware Fusion 12、VMware Workstation 16のいずれかをインストールしてください。それ以前のバージョンは、このコースでは使用できません。お使いのホストOSと互換性のあるバージョンを選択してください。VMware Workstation または Fusion のライセンス版をお持ちでない方は、VMware 社から 30 日間の無料試用版をダウンロードできます。VMware社のWebサイトで試用版に登録すると、期間限定のシリアル番号が送られてきます。VMware Workstation Playerは無料でダウンロードでき、商用ライセンスは必要ありませんが、Workstationよりも機能が少なくなっています。Hyper-VやVirtualBoxなどの他の仮想化製品はサポートされておらず、コースの教材では使用できません。

コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。

SANSでは、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていく見込みです。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

コース関連付加情報

ご注意・ご連絡事項

・当コースは、NRIセキュアテクノロジーズ株式会社が主催いたします、SANS認定トレーニングです。
・お申込み期限(全トレーニング共通):
- トレーニング初日の11日前まで
・キャンセル期限:
- トレーニング初日の46日前まで:無償キャンセル
- トレーニング初日の45-30日前まで:キャンセル料として20,000円をお支払いただきます
- トレーニング初日の30日前以降:受講費用の100%をお支払いただきます
・受講者変更期限
- トレーニング初日の30日前まで:変更可能(ポータルサイトを作成していない場合に限ります)

講師からのメッセージ

インストラクター
攻撃者のツールとテクニックが変わったので、それに合わせてインシデントレスポンスのテクニックも変える必要があります。2019年にSEC504の著者を引き継いでからは、インシデントレスポンスで成功するために必要なスキルを身につけられるよう、コース全体を書き換えました。攻撃がWindowsを中心としたものであれ、重要なデータベースプラットフォームへの攻撃やクラウドの脆弱性の悪用であれ、攻撃を効果的に特定し、影響を最小限に抑え、効率的に対応するための準備ができます。ハッカーツールやテクニックの知識を持ち、セキュリティを飛躍的に向上させる防御スキルを駆使することで、今日のサイバー脅威に対応するために組織が必要とするサブジェクト・マター・エキスパートとなる準備が整います。
-Joshua Wright

講師のJoshは信じられないほど素晴らしかったです。魅力的で、熱心で、非常に知識が豊富です(特にvim)。彼の熱意は伝染し、教材に対するモチベーションを高めてくれました。これからも素晴らしい仕事を続けてください!
- Jen F., US Federal Agency

受講者の声

●教室型のように講師の方の対面できないのは残念ですが、静かな環境で集中ができました。講師の方の描いた図やデモンストレーションが見やすかった。自分のモニタで近くで見れるのも良いと思います。さらに、画面拡張して資料を見ながらラボを実施するなどストレスがないのも良かったです。他の受講者との交流には本当に満足しています。これは私の初めてのLive Onlineコースでしたが、受講生の積極的な関与に驚きました。こうしたことは、集合研修のスタイルからしか得られないと思っていました。
●私はSANSの配信プラットフォームのすべてが大好きでした。私にとって最初のLive Onlineでしたが、過去のOnDemand受講と同じくらい素晴らしいものでした。質の高い、優れたツールなので、さまざまな学習活動を行うことができます。リモートですべての講義に参加できるのはとても便利です。さらに、講義のレコーディングが取得できることや、スコアサーバーにアクセスできるのは素晴らしいことです。
●社内のオンライン環境で受講したのですが、業務と研修を両立することができ、非常に良かったです。また、研修のビデオで復習できる点も最高でした。(Live Onlineプラットフォームは)出張やイベントに参加する時間がない人のための安定した素晴らしい環境です。私はこのプラットフォームを経営陣に勧めます。