一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2月10日、Windowsのイベントログ分析トレーニング用コンテンツ資料を公開した。
同コンテンツは、標的型攻撃によってセキュリティインシデントが発生した際の調査手法に関するトレーニングコンテンツ資料で、三井物産セキュアディレクション株式会社(MBSD)の協力によって制作されている。
同コンテンツでは、外部に公開している機器の脆弱性や設定不備を突かれることで内部ネットワークに侵入され、最終的にActive Directoryの管理者権限を侵害されるといった手法の増加を受け、Active Directoryに注目したトレーニングコンテンツとして作成している。
インシデント対応は、検知→初動調査→一時対処→本格調査→報告→恒久対策という流れで行われることが多いが、同コンテンツは初動調査に特化、基礎編と実践編で構成しており、基礎編で習得できる内容は下記の通り。
一般的な社内ネットワークの構成
Directory Service
Active Directory
ドメインコントローラー
ドメインとフォレスト
ADにおける認証/認可
Kerberos認証
NTLM認証
リモート認証とローカル認証
グループポリシーオブジェクト
攻撃者のネットワーク侵入手法
Pass-the-Hash
Pass-the-Ticket
NTDSダンプ
Kerberoast(Kerberoasting攻撃)
NTLMリレー攻撃
イベントビューアーの見方
同コンテンツでは基本的なドメインコントローラーの説明からActive Directoryにおける認証、認可の解説などを行っており、インシデント調査、分析に関する基礎的な知識の習得が可能となっている。また、標的型攻撃で攻撃者が行うネットワーク侵入の手法や、その手法に対して必要なWindowsのイベントログの調査手法も学習できる。
実践編は、基礎編で学習した内容をもとに、シナリオをベースにイベントビューアーでWindowsイベントログを分析して攻撃のタイムラインを構築するトレーニングとして活用できる内容になっている。
同コンテンツは、標的型攻撃によってセキュリティインシデントが発生した際の調査手法に関するトレーニングコンテンツ資料で、三井物産セキュアディレクション株式会社(MBSD)の協力によって制作されている。
同コンテンツでは、外部に公開している機器の脆弱性や設定不備を突かれることで内部ネットワークに侵入され、最終的にActive Directoryの管理者権限を侵害されるといった手法の増加を受け、Active Directoryに注目したトレーニングコンテンツとして作成している。
インシデント対応は、検知→初動調査→一時対処→本格調査→報告→恒久対策という流れで行われることが多いが、同コンテンツは初動調査に特化、基礎編と実践編で構成しており、基礎編で習得できる内容は下記の通り。
一般的な社内ネットワークの構成
Directory Service
Active Directory
ドメインコントローラー
ドメインとフォレスト
ADにおける認証/認可
Kerberos認証
NTLM認証
リモート認証とローカル認証
グループポリシーオブジェクト
攻撃者のネットワーク侵入手法
Pass-the-Hash
Pass-the-Ticket
NTDSダンプ
Kerberoast(Kerberoasting攻撃)
NTLMリレー攻撃
イベントビューアーの見方
同コンテンツでは基本的なドメインコントローラーの説明からActive Directoryにおける認証、認可の解説などを行っており、インシデント調査、分析に関する基礎的な知識の習得が可能となっている。また、標的型攻撃で攻撃者が行うネットワーク侵入の手法や、その手法に対して必要なWindowsのイベントログの調査手法も学習できる。
実践編は、基礎編で学習した内容をもとに、シナリオをベースにイベントビューアーでWindowsイベントログを分析して攻撃のタイムラインを構築するトレーニングとして活用できる内容になっている。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)