JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training
本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっています。
今回は、本コンテンツの概要についてご紹介します。
インシデントレスポンスグループ 田中 信太郎
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training
本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっています。
今回は、本コンテンツの概要についてご紹介します。
トレーニング対象者
本コンテンツは、以下のようなインシデント調査、分析に関わる初級者を対象としています。- 現場のシステム管理者
- 組織のセキュリティ窓口担当者
- インシデント分析に関心のある方
得られる知識
本コンテンツを通して、以下の知識を得ることができます。- 攻撃者の典型的なネットワーク侵入の手口
- 侵入の痕跡を見つけるために必要なWindowsのログ設定
- Windowsログの調査手順
- ログ調査のポイント
- Active Directoryログから攻撃の痕跡を分析する手法の基礎
トレーニングの概要
本コンテンツは、座学のパートとハンズオンのパートに分かれています。各パートの概要は以下の通りです。- 座学
- 標的型攻撃に関する説明
- 侵入後のネットワーク内部での攻撃パターンについて
- 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説
- ツールを使用したイベントログの抽出
- Windowsクライアントのイベントログの調査
- Proxyログの調査
- 侵入端末の特定
- Active Directoryログの調査
おわりに
このコンテンツは、Windowsイベントログの調査手法を学ぶことがメインとなります。Windowsのデフォルト設定では、イベントログにインシデント調査に活用できる情報があまり保存されないことから、イベントログはインシデント調査時に軽視されがちです。しかし、適切な設定がされていれば、重要な情報を記録することが可能です。このコンテンツを通して、Windowsイベントログ分析の重要性を理解してもらえればと思います。質問や要望などがありましたら、GitHubでIssueを作成していただきますようお願いします。インシデントレスポンスグループ 田中 信太郎