English
お問い合わせ

デジタルフォレンジック学習コンテンツCDIR-L(CDIR Learning)

インシデントレスポンスに必要な知識とスキルを網羅的に自習できる学習コンテンツ

CDIR-Lとは

CDIR-Learning(CDIR-L)はインシデント発生時の初動対応から、デジタルフォレンジックの基礎知識、ファストフォレンジックによる具体的な調査方法、脅威インテリジェンスを活用した攻撃分析、再発抑止を目的とした脅威分析まで防御的セキュリティオペレーション全般を学習できる学習教材(学習テキストとハンズオン演習用のデータセット)です。

ポータブルなWindowsデスクトップアプリケーションとして開発しており、お手元のPCでいつでもどこでも手軽に学習することができます。

CDIR-Lの特徴

必要なのはPCだけ

CDIR-LはWebBookとしてパッケージされた全19章の学習テキストと、イベントログやプリフェッチなどハンズオン演習用のデータセットから構成されています。
Windows PCとCDIR-Lさえあれば、ローカル環境のみで、いつでもどこでも手軽に、自分のペースで学習できます。

手を動かして実践的なスキルを獲得

各章に複数のハンズオンとCTF形式のミッションを設けており、実習用の演習データをパッケージしています。 実際に手を動かして模擬調査を行うことにより、様々な解析ツールを活用した実践的な技術スキルを修得できます。
最終章では、現実的なインシデントをもとにした演習データにより総合演習を行います。

充実した学習テキスト

テキストの内容は、弊社のフォレンジックエンジニアが業務で実践しているテクニックに基づく実用的な内容です。 また、一般的なセキュリティトレーニングで使用されるスライドとは比較にならない粒度で詳細に記載されており、初学者でも行き詰まることなく自習可能です。
SOCやCSIRT等、サイバー攻撃に対峙するエンジニアの業務リファレンスとしてもご活用いただけます。

 

すぐに業務に活かせる

弊社が独自開発した無償のファストフォレンジック用ツール 「CDIR-C」と「CDIR-A」による調査方法について、学習テキストやハンズオンで詳しく解説しています。
CDIR-Lで紹介する様々なツールやサービスは、無償利用可能なもの使用しているので、学んだことをすぐに業務に活かすことができます。

CDIR-C / CDIR-Aの詳細はこちら

CDIR-Lの種類

Community Edition(CE)

CDIR-L CEは、CDIR-C / CDIR-Aの使用方法およびファストフォレンジックに関わる章を無償でご利用いただける学習コンテンツです。ご利用いただけるのは下記学習内容の8および11~ 17の計8章です。(演習用データは付属しません。)
下記よりダウンロードしてご利用ください。

CDIR Learning CE v1.0.0(cdirlweb_ce_1.0.0.zip)

※ファイルハッシュ値(SHA256): 27B81476AE20B33D873E2652CBBBAFD8BF4837A39B5F30F637ED53DD19AD64B4

ユーザーガイド(CDIR-Learning_UserGuide_20231102.pdf)

Complete

全19章の学習テキストと、イベントログやプリフェッチなどハンズオン演習用のデータセットが利用可能です。下記お問い合わせフォームよりお気軽にお問い合わせください。

※CDIR-Lのライセンスご利用に伴い、利用規約及びプライバシーポリシーに同意いただく必要がございます。

CDIR-L 利用規約
CDIR-L プライバシーポリシー

CDIR-Lの学習内容

コース内容 CE Complete
1. 概要Ⅰ インシデント初動対応
  • インシデントレスポンス全般の知識と初動対応
2. 概説Ⅱ デジタルフォレンジック
  • デジタルフォレンジック概論
  • 証拠保全と解析の手順例
3. 概説III 復旧と再発対策
  • 封じ込め/復旧、事後対応の概要と実例
4. インシデントの検知と初期対応
  • 各種監視装置によるサイバー攻撃の防御方法
  • 検知イベントのトリアージ方法
  • トリアージのためのOSINT調査
5. 通信ログ分析
  • プロキシサーバのログ分析による侵害機器の特定方法
  • 攻撃による影響範囲の調査方法
  • エディタやシェルコマンドによるプロキシログのフィルタリング
6. 侵害機器の初動調査
  • ログから特定した侵害機器の隔離手順と揮発性情報の調査
  • 通信状態の調査と不審な通信プロセスの特定
7. 証拠保全I(ディスク、メモリ)
  • 侵害機器の証拠保全に関する基礎知識と実務
  • ディスクおよびメモリから取得するアーティファクトの実例とメモリフォレンジック
8. 証拠保全II(CDIR-C、物理イメージ)
  • ファストフォレンジック/フルフォレンジックにおける侵害機器の保全方法
  • ファストフォレンジック用ツール(CDIR-C)による保全
  • フルフォレンジック用に保全するディスクイメージの実際
9. マルウェア検体調査
  • マルウェア調査方法の種類と表層解析の実践手法
  • 表層解析によるハッシュ値算出、文字列やメタデータの抽出
10. マルウェア関連情報収集(VirusTotal等)
  • マルウェア表層解析を端緒とした情報収集とサンドボックス解析
  • VirusTotalによる情報収集、公開サンドボックスによる動的解析
11. 永続化されたマルウェアの調査(Registry)
  • マルウェアの永続化手法
  • レジストリ(Runキー)を解析対象アーティファクトとした永続化痕跡調査
  • Runキーの登録方法と動作検証
  • レジストリ(Runキー)のファストフォレンジック
12. マルウェアの実行履歴調査(Prefetch)
  • 不審なファイルの実行履歴の調査手法
  • プリフェッチファイルの構造と参照
  • プリフェッチのファストフォレンジック調査
13. 不審なイベントの調査(Event Log)
  • マルウェアや侵入者による不審な挙動の履歴
  • イベントログの調査手法
  • イベントログ(EVTXファイル)の構造と参照
  • イベントログのファストフォレンジック調査
14. 攻撃痕跡の調査(PowerShell、Registry等)
  • 不正なPowerShellスクリプトによる攻撃の痕跡調査
  • 不審な実行ファイルの痕跡調査
    • イベントログに記録された不正なPowerShellスクリプト実行痕跡
  • Amcache / Shimcache / WMIアーティファクトから不審な実行ファイルの痕跡を抽出する
15. アクティビティの調査(Web History、SRUM)
  • Webアクセス履歴や最近使ったファイルの調査方法(ユーザー・アクティビティ)
  • プロセス別ネットワーク利用履歴の調査方法(ネットワークアクティビティ)
16. ファイルシステムの調査(MFT)
  • NTFSファイルシステムのメカニズム
  • MFT(マスターファイルテーブル)の構造とファイルシステムの解析
  • 削除済みファイルの復元
  • MFTのパースと不審なファイルの調査
17. ファイル操作履歴の調査(USN Journal)
  • USNジャーナル(ファイル操作履歴)の構造と解析方法
  • 攻撃のタイムライン調査
18. MITRE ATT&CKによる脅威分析
  • 攻撃者の戦術(TTPs)に着目した脅威分析
  • MITRE ATT&CKによる脅威情報と緩和策/検知方法の調査
  • ATT&CK Matrix( ATT&CK Navigator)による脅威情報のマッピング分析
19. ファストフォレンジック総合演習
  • 感染したマルウェアの特定
  • タイムライン分析
  • インシデント発生原因の分析
  • 脅威ハンティング
  • 再発防止策の分析
CE
Complete
1. 証拠保全II(CDIR-C、物理イメージ)
  • ファストフォレンジック/フルフォレンジックにおける侵害機器の保全方法
  • ファストフォレンジック用ツール(CDIR-C)による保全
  • フルフォレンジック用に保全するディスクイメージの実際
2. 永続化されたマルウェアの調査(Registry)
  • マルウェアの永続化手法
  • レジストリ(Runキー)を解析対象アーティファクトとした永続化痕跡調査
  • Runキーの登録方法と動作検証
  • レジストリ(Runキー)のファストフォレンジック
3. マルウェアの実行履歴調査(Prefetch)
  • 不審なファイルの実行履歴の調査手法
  • プリフェッチファイルの構造と参照
  • プリフェッチのファストフォレンジック調査
4. 不審なイベントの調査(Event Log)
  • マルウェアや侵入者による不審な挙動の履歴
  • イベントログの調査手法
  • イベントログ(EVTXファイル)の構造と参照
  • イベントログのファストフォレンジック調査
5. 攻撃痕跡の調査(PowerShell、Registry等)
  • 不正なPowerShellスクリプトによる攻撃の痕跡調査
  • 不審な実行ファイルの痕跡調査
  • イベントログに記録された不正なPowerShellスクリプト実行痕跡
  • Amcache / Shimcache / WMIアーティファクトから不審な実行ファイルの痕跡を抽出する
6. アクティビティの調査(Web History、SRUM)
  • Webアクセス履歴や最近使ったファイルの調査方法(ユーザー・アクティビティ)
  • プロセス別ネットワーク利用履歴の調査方法(ネットワークアクティビティ)
7. ファイルシステムの調査(MFT)
  • NTFSファイルシステムのメカニズム
  • MFT(マスターファイルテーブル)の構造とファイルシステムの解析
  • 削除済みファイルの復元
  • MFTのパースと不審なファイルの調査
8. ファイル操作履歴の調査(USN Journal)
  • USNジャーナル(ファイル操作履歴)の構造と解析方法
  • 攻撃のタイムライン調査
1. 概要Ⅰ インシデント初動対応
  • インシデントレスポンス全般の知識と初動対応
2. 概説Ⅱ デジタルフォレンジック
  • デジタルフォレンジック概論
  • 証拠保全と解析の手順例
3. 概説III 復旧と再発対策
  • 封じ込め/復旧、事後対応の概要と実例
4. インシデントの検知と初期対応
  • 各種監視装置によるサイバー攻撃の防御方法
  • 検知イベントのトリアージ方法
  • トリアージのためのOSINT調査
5. 通信ログ分析
  • プロキシサーバのログ分析による侵害機器の特定方法
  • 攻撃による影響範囲の調査方法
  • エディタやシェルコマンドによるプロキシログのフィルタリング
6. 侵害機器の初動調査
  • ログから特定した侵害機器の隔離手順と揮発性情報の調査
  • 通信状態の調査と不審な通信プロセスの特定
7. 証拠保全I(ディスク、メモリ)
  • 侵害機器の証拠保全に関する基礎知識と実務
  • ディスクおよびメモリから取得するアーティファクトの実例とメモリフォレンジック
8. 証拠保全II(CDIR-C、物理イメージ)
  • ファストフォレンジック/フルフォレンジックにおける侵害機器の保全方法
  • ファストフォレンジック用ツール(CDIR-C)による保全
  • フルフォレンジック用に保全するディスクイメージの実際
9. マルウェア検体調査
  • マルウェア調査方法の種類と表層解析の実践手法
  • 表層解析によるハッシュ値算出、文字列やメタデータの抽出
10. マルウェア関連情報収集(VirusTotal等)
  • マルウェア表層解析を端緒とした情報収集とサンドボックス解析
  • VirusTotalによる情報収集、公開サンドボックスによる動的解析
11. 永続化されたマルウェアの調査(Registry)
  • マルウェアの永続化手法
  • レジストリ(Runキー)を解析対象アーティファクトとした永続化痕跡調査
  • Runキーの登録方法と動作検証
  • レジストリ(Runキー)のファストフォレンジック
12. マルウェアの実行履歴調査(Prefetch)
  • 不審なファイルの実行履歴の調査手法
  • プリフェッチファイルの構造と参照
  • プリフェッチのファストフォレンジック調査
13. 不審なイベントの調査(Event Log)
  • マルウェアや侵入者による不審な挙動の履歴
  • イベントログの調査手法
  • イベントログ(EVTXファイル)の構造と参照
  • イベントログのファストフォレンジック調査
14. 攻撃痕跡の調査(PowerShell、Registry等)
  • 不正なPowerShellスクリプトによる攻撃の痕跡調査
  • 不審な実行ファイルの痕跡調査
    • イベントログに記録された不正なPowerShellスクリプト実行痕跡
  • Amcache / Shimcache / WMIアーティファクトから不審な実行ファイルの痕跡を抽出する
15. アクティビティの調査(Web History、SRUM)
  • Webアクセス履歴や最近使ったファイルの調査方法(ユーザー・アクティビティ)
  • プロセス別ネットワーク利用履歴の調査方法(ネットワークアクティビティ)
16. ファイルシステムの調査(MFT)
  • NTFSファイルシステムのメカニズム
  • MFT(マスターファイルテーブル)の構造とファイルシステムの解析
  • 削除済みファイルの復元
  • MFTのパースと不審なファイルの調査
17. ファイル操作履歴の調査(USN Journal)
  • USNジャーナル(ファイル操作履歴)の構造と解析方法
  • 攻撃のタイムライン調査
18. MITRE ATT&CKによる脅威分析
  • 攻撃者の戦術(TTPs)に着目した脅威分析
  • MITRE ATT&CKによる脅威情報と緩和策/検知方法の調査
  • ATT&CK Matrix( ATT&CK Navigator)による脅威情報のマッピング分析
19. ファストフォレンジック総合演習
  • 感染したマルウェアの特定
  • タイムライン分析
  • インシデント発生原因の分析
  • 脅威ハンティング
  • 再発防止策の分析

CDIR-Lの価格

Community Edition 無料 / 1ユーザーライセンス
Complete 99,000円(税別) / 1ユーザーライセンス

お気軽にお問い合わせください

製品やサービスに関するご質問、お見積りのご用命、課題解決のご相談はこちらから
お見積もり・お問い合わせ
資料ダウンロード
なお、機密性を重視したご依頼は cdiprivacy(at)protonmail.com 宛てのメールでも承ります。
※ (at) は @ に置き換えてください。
トレーニングコース一覧

デジタルフォレンジック基礎&実践演習

弊社で提供しているファストフォレンジックツールを活用しながら、Windowsを対象にファストフォレンジックに必要となる知識、技術をハンズオン形式で学びます。

DFIR
Intel

フォレンジック学習コンテンツ「CDIR-L」

インシデントレスポンスに必要な知識とスキル全般をいつでも自習できる学習コンテンツ(学習テキストとハンズオン演習用のデータセット)です。

DFIR

マルウェア解析Ⅰ

マルウェア感染が疑われるインシデントが発生した際の実践的な対処方法を身につけることを目的としたトレーニングコースです。

DFIR
Intel

マルウェア解析Ⅱ

ハンズオン形式によるマルウェア解析を通じて、マルウェアの解析の際に必要となる基本的なリバースエンジニアリング技術について学びます。

DFIR
Intel

Binary Exploitation Fundamentals

脆弱性攻撃の古典的なシナリオの把握、様々な手法や考え方を組み合わせたフルスクラッチでのExploit開発を体験することができます。

Exploit

Linux Userland Heap Exploitation

ヒープ上のデータ操作の欠陥に起因した攻撃について、その考え方や手法を学ぶトレーニングコースです。

Exploit

ハッキング|Webアプリケーション

昨今多発するWebを介した情報漏洩や不正アクセスに対する実戦的な対処能力を身につけることを目的としたトレーニングプログラムです。

Hacking

ハッキング|ネットワーク

実際のネットワークに対して受講者が自ら攻撃対象の脆弱なポイントを見つけ出し、攻撃を試行することで実戦的な対処能力を身につけるトレーニングコースです。

Hacking

ハッキング|ハードウェア

様々なIoTのサイバーセキュリティに関与する技術者、防衛装備品などの特殊なデバイスのセキュリティに関与する技術者にとって有用なテクニックを習得できます。

Hacking

カスタマイズトレーニング

スケジュールや予算、必要なカリキュラム、現状のスキルレベルと目指すべきスキルレベルなどのご要望をもとに、お客さまのニーズに沿ったオリジナルトレーニングをご提供いたします。

情報処理安全確保支援士(登録セキスペ) 特定講習

サイバーディフェンス研究所のセキュリティトレーニングは、情報処理安全確保支援士(登録セキスペ)の資格更新のために受講すべき「特定講習」に採用されています。