ホストベースのセキュリティと監査
本コースでは、攻撃者がシステム上に残す痕跡(エビデンス)に焦点を当て、Linux におけるホストベースのセキュリティと監査について学びます。ネットワークトラフィックからは「何かが起きた」ことは分かりますが、ホスト上のアーティファクト(痕跡)を分析することで、「何が変更されたのか」「誰がアクセスしたのか」「侵害がどのように進行したのか」を明らかにできます。本コースでは、ファイル整合性監視(FIM)、auditd、システムログ分析を活用し、改ざんの検知、不審なアクティビティの調査、そして Linux ホストの堅牢化(ハードニング)を行う手法を習得します。
なぜ重要なのか
攻撃者がシステムを何も変更せずに立ち去ることは稀です。彼らはファイルを改ざんし、サービスへの認証を行い、権限を昇格させ、機密ディレクトリにアクセスします。ホストレベルでこれらのアクションを監視できれば、ネットワークツールだけでは明確に捉えられないアクティビティを検知することが可能になります。
本コースは、Linux 環境における実践的な可視化能力を必要とするディフェンダー(防御側担当者)向けに設計されています。信頼できるファイルのベースライン作成、低レベルな監査ルールの設定、運用ログの解析、そしてこれらのシグナルを統合した現実的なハードニングおよび調査ワークフローの構築方法を学びます。
学習内容
- ファイル整合性のベースラインを作成・検証し、不正な変更を検知する。
auditdルールを設定し、機密ファイル、コマンド、ディレクトリを監視する。- Linux の認証ログやシステムログを解析し、ブルートフォース攻撃や権限の悪用を特定する。
- 整合性データ、監査データ、ログデータを相関させ、ホスト調査を行う。
- 現実的なセキュリティハードニングのシナリオにおいて、複数のホスト制御を適用する。
コースロードマップ
- ファイル整合性監視 (FIM): AIDE を使用して信頼できるベースラインを構築し、不正なファイル変更を特定する。
- Auditd によるシステム監査: カーネルレベルの監査ルールを設定し、機密性の高い操作を高い精度で追跡する。
- システムログ分析:
auth.logやsyslogをレビューし、ログイン失敗、sudoの悪用、不審なアクセスパターンを特定する。 - ホストセキュリティのハードニング: 整合性監視と監査を組み合わせ、シミュレートされた内部脅威を調査・封じ込める。
対象読者
- ホストレベルの調査スキルを強化したい SOC アナリストおよびディフェンダー。
- 実践的な監査およびハードニング技術を習得したい Linux 管理者。
- パケット解析からエンドポイントおよびサーバーセキュリティへとスキルを広げたい学習者。
到達目標
本コースを修了することで、重要な Linux ホストの改ざん監視、不審なアクセスの調査、そして実際の運用環境における強固な監査体制の構築が可能になります。
