東芝ビジネスエキスパート

芝大門塾トップ > コース詳細

実践!デジタル・フォレンジックコース(2) 侵害調査編~Windows環境の侵害状況調査手法~

コース詳細

コースコード LANW001
旧コースコード
カテゴリ ネットワーク・セキュリティ
価格(税込) 330,000円
期間 2日  10:00~17:30
日程 標準学習時間 お問い合わせください。
目的
概要 このコースは、初動対応編で確認したマルウェア(※1)をベースに、Windows環境において侵害状況を判断する上で必要となる基本的な流れを演習形式で学びます。標的型攻撃(※2)などで利用される一般的な攻撃手口(※3)に対して、初期調査の項目例としては、NTFS USNジャーナルの解析、簡易的なファイルシステム・タイムラインの追跡、レジストリ内のプログラム実行痕跡、メモリ内の文字列痕跡、イベントログにおけるログオン状況の調査などが必要となります。本格的なコンピュータ・フォレンジック調査を実施する前段階として、早期に侵害状況を把握するための簡易的な調査手法と共に、被害拡大を抑止するために必要な影響範囲の判断方法などについても学びます。
※1 RAT:Remote Access Trojan/Remote. Administration Tool
※2 APT:Advanced Persistent Threat
※3 TTPs:Tactics, Techniques and Procedures
内容 1.NTFSジャーナル
・インシデント発生状況確認時のNTFS ジャーナルファイルの調査
・インシデント発生時のファイルシステム確認方法

2.タイムライン(ファイルシステム)
・ファイルシステムのタイムラインを用いた時系列でのインシデント発生状況確認方法
- flsコマンドを利用したタイムライン作成
- bodyファイルの処理(mactime、log2timeline)
- ファイルシステム タイムラインの確認

3.プログラム実行痕跡(プリフェッチ)
・実行されたプログラムの確認方法
- ファイルシステムの実行痕跡(プリフェッチ・ファイル等)

4.プログラム実行痕跡(レジストリ)
・レジストリに保存されているプログラムの実行痕跡
- UserAssist
- AppCompatCache
- Amcache

5.イベントログ(セキュリティ)
・痕跡の確認方法
- アカウント情報の不正利用
- 横展開(Lateral Movement)

6.認証情報の不正利用
・Windowsが利用している認証情報の取得
- メモリ
- SAM
- Windows資格情報コンテナー
・アカウントの不正利用

7.メモリイメージの分析
・取得したメモリイメージの分析
・メモリ内から得られる痕跡の確認方法

8.ファイルカービング
・ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したファイルの識別方法
・カービングによるファイル復元の方法
- ファイルのシグネチャ確認
- カービングによる削除ファイルの復元
到達目標 ①Windows環境のマルウェア感染に関連して初期段階で調査すべき痕跡(アーティファクト)を理解できるようになる
②①の情報から、インシデントの影響範囲や被害状況を確認する流れを理解できるようになる
③①の調査に必要な、ファイルの持つ特徴的なシグネチャ(ヘッダ・フッタパターン)、シグネチャを利用した削除データ復元の方法を理解できるようになる
前提条件 ・実践!デジタル・フォレンジック入門コースの受講または同等の知識がある
・実践!デジタル・フォレンジックコース(1) 初動対応編の受講または同等の知識
・Windows内部に関する基本的な知識とコマンドラインを利用した操作
・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手法に関する知識
・仮想環境(VMware)の操作
対象者 ・CSIRT要員(技術系)
形式 マシン実習あり
PC動作環境
定員
会場
主催 株式会社ラック
キャンセル
ポリシー
ご注文後にキャンセルまたは日程変更される場合は、以下の条件に従ってキャンセル料をご請求させていただきます。
 ・研修開始日の16日前:100%
備考 旧コース名:実践!デジタル・フォレンジック初級コース 事象・アーティファクト基礎編

お問い合わせ

芝大門塾 事務局

TEL:03-5408-1509 FAX:03-5408-0689
Email:shibajuku@hrd.toshiba.co.jp
〒105-0011 東京都港区芝公園 1-8-4 NREG芝公園ビル 東芝ビジネスエキスパート(株)
(受付時間 9:00~12:00、13:00~17:00)
土曜日・日曜日・祝日・年末年始ほか、当社休業日を除く

ページトップへ