ホーム > FOR508 Implementing and Auditing the Critical Security Controls - In-Depth

FOR508 Implementing and Auditing the Critical Security Controls - In-Depth

  • New!
    新規コース(過去6ヶ月)

コース基本情報

コースタイトル FOR508 Implementing and Auditing the Critical Security Controls - In-Depth
コースコード SCC0178R  
コース種別 集合研修 形式 講義+実機演習
期間 6日間 時間 9:30~17:30 価格(税抜) 610,000円(税抜)
主催 NRIセキュアテクノロジーズ株式会社
日程 会場 空席状況 実施状況 選択

2017年10月23日(月) ~ 2017年10月28日(土)

NRI東京(秋葉原UDX)

  お申し込み後確認

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ グローバルナレッジ主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ グローバルナレッジ主催コース以外では、主催会社のお席を確保した後に受付確定となります。

詳しくはお問い合わせください。

ワンポイント

FOR508は、GIAC(GCFA)認定試験対象コースです。
受験をご希望の場合、同時に「GIAC試験バウチャーバンドルオプション」をお申し込みください。
※試験バウチャーはSANSトレーニングのセット購入の場合のみご購入可能です。
(試験バウチャーのみのご購入はお断りさせていただきます)

当コースのご受講には、演習で使用するPCのご持参が必要です。受講に必要なPC環境(外部サイト)をご確認いただき、ご準備の上トレーニングにご持参くださいますようお願いいたします。

当コースは、早期割引の適用が可能です。

■早期申込割引について(46日前までの申込み)
 610,000円(税抜) → 570,000円(税抜) 
→割引適用ご希望の方はお申込時に備考欄へ「早期申込割引適用希望」とご記載ください。

■2017年10月の当コースをご受講いただいた方は、2017年10月26日~27日開催 Core NetWars Experience に無料でご参加いただけます。
Core NetWars Experienceにご参加希望の方はお申し込み時に備考欄へ「Core NetWars Experience 参加希望」とご記載ください。

対象者情報

対象者
・データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
・インシデントレスポンスチームの一員で、APT組織や先進的なアタッカーからの複雑なインシデントや侵入被害に対応するため、検知および調査し、侵害されたシステムを修正し復旧する一連の方法を知る必要がある方
・デジタルフォレンジックアナリストの経験者で、ファイルシステムのフォレンジック、高度なアタッカーの調査技術、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
・政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
・レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
・FOR408とSEC504を既に受講済みで、更なる技術力の向上を望む方
前提条件
□本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR408(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR408を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。
フォレンジックスキルのレベルチェックを無償で提供しています。次のURLより行ってください。
http://computer-forensics.sans.org/training/assessment

学習内容の詳細

コース概要
本コースでは、デジタルフォレンジックアナリストやインシデントレスポンスチームが、APTを含む洗練された攻撃を行う集団や金融犯罪シンジケートに対抗して、脅威の識別、封じ込め、修正を行う手順を学習します。さらに、学習成果を高めるため、ネットワーク業界の先進的企業で実際に起きている標的型攻撃を元に開発された、実践的な訓練にチャレンジし課題解決を通して理解を深めていくことで、今までよりも早い段階でAPT攻撃の存在に気付くことができるようになるでしょう。本コースを通じて、誰に何のデータが盗まれたのかを洗い出し、具体的な脅威を封じ込め、攻撃に対抗しマネジメントできる能力をもった職員として成長することができます。
現在の組織では、標的型攻撃の分野に精通したインシデントレスポンダとフォレンジックアナリストを必要としています。本コースでは、このような業務に従事することができる個人およびチームを育成します。
学習目標
本コースは、以下の項目を理解することに主眼が置かれています。
● どのように侵害されたか
● どのシステムが侵入されたか
● どのデータが持ち去られたか。どのデータが改ざんされたか
● どのようにインシデントに対処し修正したらよいか
学習内容
Day 1 エンタープライズインシデントレスポンス
  - Real Incident Response Tactics
  - Threat Hunting
  - Cyber Threat Intelligence
  - Threat Hunting in the Enterprise
  - Malware Persistence Identification
  - Remote and Enterprise Incident Response

 Day 2 インシデントレスポンスにおけるメモリフォレンジック
  - Memory Acquisition
  - Memory Forensics Analysis Process
  - Memory Forensics Examinations
  - Memory Analysis Tools

 Day 3 フォレンジック侵入
  - Advanced Evidence of Execution Detection
  - Window Shadow Volume Copy Analysis
  - Lateral Movement Adversary Tactics, Techniques, and Procedures (TTPs)
  - Event Log Analysis for Incident Responders and Hunters

 Day 4 タイムライン解析
  - Timeline Analysis Overview
  - Memory Analysis Timeline Creation
  - Filesystem Timeline Creation and Analysis
  - Super Timeline Creation and Analysis

 Day 5 インシデントレスポンスとエンタープライズハンティング|高度な攻撃とフォレンジック検知
  - Evolution of Incident Response Scripting
  - Malware and Anti-Forensic Detection
  - Anti-Forensic Detection Methodologies
  - Identifying Compromised Hosts without Active Malware

 Day 6 APTインシデントレスポンスチャレンジ
  - IDENTIFICATION AND SCOPING:
  - CONTAINMENT AND SECURITY INTELLIGENCE GATHERING:
  - REMEDIATION AND RECOVERY

実習/演習内容詳細

ソフトウェア/ハードウェア
ノートパソコンのハードウェア要件
CPU:最低64bit Intel i5 x64 2.0+ GHzプロセッサ以上(特に64bit必須)
RAM:最低8GB以上(より多くを推奨)
USB:3.0を強く推奨
HDD/SSD:150GB以上の空き容量
NW:802.11無線LAN、Ethernet NIC(有線LAN、無線LANともに必要)
OS:下記要件を満たすOS
Windows 7以上、Mac OSX 10.10以上、2014年以降バージョンのLinux
VMware製品が正常に動くこと
フルパッチ適用済、最新に更新済なこと
USB3.0デバイスが適切に動くこと
(Linux)適切なカーネルモジュールもしくはFUSEモジュールを使用し、ExFATにアクセス可能なこと
その他:USBメモリの読込ができること
その他:ホストOSのローカルアドミニストレーター権限
その他:ウィルス対策製品の停止、解除ができること
その他:ファイアウォールの停止、設定変更ができること
その他:BIOS設定が変更できること
重要事項:SIFT Workstationをダウンロードしないこと。初日にFOR508用に特別に設定したSIFT Workstationを配布
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
VMware Workstation 11、VMware Fusion 7、VMware Player 7以降のバージョン
7zip
Microsoft Office Excel(2013以降)
60日の試用版:http://products.office.com/try
(Linux/Mac OSX) WindowsゲストOS必須(Windows 7以降)
注意:MacではBoot CampによるWindowsを構成を強く推奨
VMware Fusionでは、一部のラボが適切に動作しなかった問題が発生
持ち込み可能なもの
FOR408の受講者はコースで使用したSIFT Workstationのコピーを持参して、コース最終日のチャレンジに使用できます。
あらゆるツールの持ち込みとインストールは自由です(EnCaseやFTKなど)。コース最終日のチャレンジで、有償無償問わず利用できます。ライセンス認証用のドングルも持ち込みできます。
ダウンロードしたSIFT Workstationは使用しないでください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

関連試験や資格との関連

GIAC認定試験 GIAC(GCFA)認定試験

ご注意・ご連絡事項

・当コースは、NRIセキュアテクノロジーズ株式会社が主催いたします、SANS認定トレーニングです。
・早期割引価格適用することも可能です。
適用条件:トレーニング初日の46日前までに申込み手続きが完了していること
・お申込み期限(全トレーニング共通):
- トレーニング初日の7日前まで
・キャンセル期限:
- トレーニング初日の46日前まで:無償キャンセル
- トレーニング初日の45-16日前まで:キャンセル料として20,000円をお支払いただきます
- トレーニング初日の15日前以降:受講費用の100%をお支払いただきます

講師からのメッセージ

インストラクター
※ コース開発者より
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ。」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。 敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。 - Rob Lee