IR DF演習ドリル
  • 任意研修
  • eラーニング
●Windows環境で発生したマルウェアによるセキュリティ・インシデントにおいて、初動対応で必要となる基本的なデジタル・フォレンジック(DF)技術について演習形式で学習していきます。
●学習項目としては、マルウェアの特定、影響範囲の確認、情報漏洩の確認、に対して利用可能なDF技術について扱います。
●それぞれのテーマについて、講師による説明(動画)を見ながら、ご自分のPCでサンプルデータを利用した演習をしていく流れとなります。
●演習環境PCについての操作説明や演習用サンプルデータはコース内からダウンロードでき、ご自分のPC上で任意のツールを利用して解析を試す事ができます。
●対象テーマ、コンテンツは年間を通して随時更新されていきます。
●テーマ順に取り組まなくても、必要に応じて取り組む課題をセレクトしていくことで、業務に必要なものや対象となる技術を先に進めていくことができます。
●学習としての利用だけではなく、万が一、自社の事故調査が必要になったときに、対象テーマの動画を見ることで実際の調査を進める手助けともなります。(調査用PCを維持しておけば、さらに迅速に対応ができます)
*最新の攻撃に対する調査手法をできるだけタイムリーに追加し、実際の業務に活かせることを目指してます。よって、受講契約を毎年継続されることをお奨めします。
(注意)
・インシデント・レスポンスの初動対応に特化した内容であり、デジタル・フォレンジックを包括的に学ぶ為のコースではありません。
・訴訟対応を目的とした手続きや、訴訟用にデジタル・フォレンジックを実施する為の内容ではありません。
・このコースで利用するPCは受講生にて準備頂きます。推奨ツールや調査用環境構築などについては講座内にてガイドしています。
はじめに
学習のご案内
コース更新履歴
操作手順(学習環境用)
VHDディスク操作手順
Autopsy操作手順
ファイルシステム基礎
1.NTFS MFT
動画時間: 10:34 視聴時間:
2.クラスタ
動画時間: 12:55 視聴時間:
3.スラック
動画時間: 11:48 視聴時間:
4.レジデント
動画時間: 11:04 視聴時間:
5.削除ファイル
動画時間: 15:28 視聴時間:
6.削除フォルダ
動画時間: 11:59 視聴時間:
7.削除データの上書き
動画時間: 12:31 視聴時間:
8.削除痕跡($I30)
動画時間: 13:22 視聴時間:
アーティファクト基礎
1.ゴミ箱
動画時間: 16:42 視聴時間:
2.ファイルシネグチャ
動画時間: 10:33 視聴時間:
3.カービング
動画時間: 10:18 視聴時間:
4.USNジャーナル
動画時間: 11:35 視聴時間:
5.プリフェッチファイル
動画時間: 12:30 視聴時間:
6.レジストリ(基礎)
動画時間: 11:29 視聴時間:
7.ファイル参照:LNK
動画時間: 8:54 視聴時間:
8.ファイル参照:JumpList
動画時間: 7:25 視聴時間:
9.ローカルユーザーアカウント
動画時間: 10:23 視聴時間:
10.ドメインユーザーアカウント
動画時間: 8:41 視聴時間:
11.リモートデスクトップ接続
動画時間: 7:27 視聴時間:
手順書
初動対応データ保全(cdir-collector)操作手順
Autorunsを利用したマルウェアの検出手順
レジストリ調査手順
USB接続痕跡 調査手順(Win10)
PhotoRec操作手順
NTFS USNジャーナル調査手順
Plaso操作手順
Windowsイベントログ 監査ポリシー設定手順
Windowsイベントログ 監査項目リスト
Windowsイベントログ 調査手順
Windowsイベントログ サンプル
LPSイベントログ確認手順
Active Directory初動対応手順
ActiveDirectory攻撃手口
APTSimulator操作手順
参考資料
マインドマップ: レジストリ(案)
マインドマップ: .ドライブマウント(案)
マインドマップ: プリフェッチファイル(案)
マインドマップ: LNKファイル(案)
NTFS構造資料
NTFS FILEレコードと属性
NTFS タイムスタンプ
NTFS FILEレコード削除フラグ
NTFS Object ID
NTFS 代替データストリーム(ADS)