インシデントレスポンスとマルウェアトリアージ
本コースは、侵害された証拠やアクティブなインシデントシナリオに基づいた、チャレンジ形式の DFIR(デジタルフォレンジックおよびインシデントレスポンス)プロジェクトです。ガイド付きの実験とは異なり、保存されたディスクアーティファクト、ライブメモリの手がかり、マルウェアの挙動再構築といった一連の DFIR ワークフローを通じて、実践的な調査に取り組みます。
なぜこの学習が重要なのか
実際のインシデントレスポンスでは、アナリストは文脈を失うことなく、複数の証拠ソースを横断して調査を行う必要があります。ディスクアーティファクト、揮発性メモリ、マルウェアの挙動はそれぞれ異なる問いに対する答えを提供しており、それらを関連付けることで初めて有益な結論が導き出されます。本コースは、こうした広範な調査ワークフローを試すために設計されています。
本コースはプロジェクト形式であるため、アナリストの判断力と証拠の相関付けに重点を置いています。手がかりをどのように抽出し、調査結果を検証し、それらをフォレンジックやマルウェア解析の各チャレンジ間でどのように活用していくかを、自ら判断する必要があります。
学習内容
- 侵害されたディスク証拠をレビューし、有用なフォレンジックコンテキストを保持する。
- ライブメモリのアーティファクトをトリアージし、不審なプロセスや接続を特定する。
- 静的および動的なインジケーターからマルウェアの挙動を再構築する。
- ディスク、メモリ、実行ファイルの挙動にわたる証拠を相関付ける。
- DFIR 調査に必要なエンドツーエンドの思考プロセスを実践する。
コースロードマップ
- 侵害されたディスク証拠のレビュー: 侵害されたシステムからファイルシステムの証拠を復元・分析します。
- ライブメモリのインシデントトリアージ: 揮発性メモリの手がかりを使用して、アクティブまたは最近の悪意ある活動を特定します。
- マルウェアの挙動再構築: 観察された証拠に基づき、不審なバイナリがどのような動作を行うかを解明します。
対象者
- DFIR およびマルウェア解析のコースを修了し、実践的なレビュープロジェクトを求めている学習者。
- 証拠を横断する調査ワークフローを練習したいインシデントレスポンダー。
- ディスク、メモリ、マルウェアの調査結果を関連付けるスキルを強化したいセキュリティアナリスト。
到達目標
本コースを修了すると、インシデントを単発の事象ではなく一連の調査として捉え、保存されたアーティファクトから揮発性証拠、そしてマルウェアの挙動へと調査を進め、攻撃者の活動についてより明確な結論を導き出せるようになります。
