一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2月10日、Windowsのイベントログ分析トレーニング用コンテンツ資料を公開した。
同コンテンツは、標的型攻撃によってセキュリティインシデントが発生した際の調査手法に関するトレーニングコンテンツ資料で、三井物産セキュアディレクション株式会社(MBSD)の協力によって制作されている。
同コンテンツでは、外部に公開している機器の脆弱性や設定不備を突かれることで内部ネットワークに侵入され、最終的にActive Directoryの管理者権限を侵害されるといった手法の増加を受け、Active Directoryに注目したトレーニングコンテンツとして作成している。
インシデント対応は、検知→初動調査→一時対処→本格調査→報告→恒久対策という流れで行われることが多いが、同コンテンツは初動調査に特化、基礎編と実践編で構成しており、基礎編で習得できる内容は下記の通り。
一般的な社内ネットワークの構成
Directory Service
Active Directory
ドメインコントローラー
ドメインとフォレスト
ADにおける認証/認可
Kerberos認証
NTLM認証
リモート認証とローカル認証
グループポリシーオブジェクト
攻撃者のネットワーク侵入手法
Pass-the-Hash
Pass-the-Ticket
NTDSダンプ
Kerberoast(Kerberoasting攻撃)
NTLMリレー攻撃
イベントビューアーの見方
同コンテンツでは基本的なドメインコントローラーの説明からActive Directoryにおける認証、認可の解説などを行っており、インシデント調査、分析に関する基礎的な知識の習得が可能となっている。また、標的型攻撃で攻撃者が行うネットワーク侵入の手法や、その手法に対して必要なWindowsのイベントログの調査手法も学習できる。
実践編は、基礎編で学習した内容をもとに、シナリオをベースにイベントビューアーでWindowsイベントログを分析して攻撃のタイムラインを構築するトレーニングとして活用できる内容になっている。
