フォレンジック学習コンテンツCDIR-L(CDIR Learning)

CDIR-Lとは

CDIR-Learning(CDIR-L)はインシデント発生時の初動対応から、デジタルフォレンジックの基礎知識、ファストフォレンジックによる具体的な調査方法、脅威インテリジェンスを活用した攻撃分析、再発抑止を目的とした脅威分析まで防御的セキュリティオペレーション全般を学習できる学習教材(学習テキストとハンズオン演習用のデータセット)です。

ポータブルなWindowsデスクトップアプリケーションとして開発しており、お手元のPCでいつでもどこでも手軽に学習することができます。

CDIR-Lの特徴

学習に必要なのはPCだけ

CDIR-LはWebBookとしてパッケージされた全19章の学習テキストと、イベントログやプリフェッチなどハンズオン演習用のデータセットから構成されています。
Windows PCとCDIR-Lさえあれば、ローカル環境のみで、いつでもどこでも手軽に、自分のペースで学習できます。

手を動かして実践的なスキルを獲得

各章に複数のハンズオンとCTF形式のミッションを設けており、実習用の演習データをパッケージしています。 実際に手を動かして模擬調査を行うことにより、様々な解析ツールを活用した実践的な技術スキルを修得できます。
最終章では、現実的なインシデントをもとにした演習データにより総合演習を行います。

充実したテキスト

テキストの内容は、弊社のフォレンジックエンジニアが業務で実践しているテクニックに基づく実用的な内容です。 また、一般的なセキュリティトレーニングで使用されるスライドとは比較にならない粒度で詳細に記載されており、初学者でも行き詰まることなく自習可能です。
SOCやCSIRT等、サイバー攻撃に対峙するエンジニアの業務リファレンスとしてもご活用いただけます。

すぐに業務に活かせる

弊社が独自開発した無償のファストフォレンジック用ツール 「CDIR-C」と「CDIR-A」による調査方法について、学習テキストやハンズオンで詳しく解説しています。
CDIR-Lで紹介する様々なツールやサービスは、無償利用可能なもののみですので、学んだことをすぐに業務に活かすことができます。

「CDIR-C」「CDIR-A」についての詳細はこちら

CDIR-Lの種類

CDIR-Lには無償で一部の学習内容を利用できるCommunity Edition(CE)版と全ての機能がご利用いただけるComplete版がございます。

Community Edition(CE)

CDIR-L CEは、CDIR-C / CDIR-Aの使用方法およびファストフォレンジックに関わる章を無償でご利用いただける学習コンテンツです。ご利用いただけるのは下記学習内容の8および11~ 17の計8章です。(演習用データは付属しません。)
下記よりダウンロードしてご利用ください。

      ※ファイルハッシュ値(SHA256):


27B81476AE20B33D873E2652CBBBAFD8BF4837A39B5F30F637ED53DD19AD64B4



1ユーザーライセンス 無料(機能制限あり)

Complete

全19章の学習テキストと、イベントログやプリフェッチなどハンズオン演習用のデータセットが利用可能です。下記お問い合わせフォームよりお気軽にお問い合わせください。

※CDIR-Lのライセンスご利用に伴い、利用規約及びプライバシーポリシーに同意いただく必要がございます。



1ユーザーライセンス 99,000円(税別)

 

学習内容

内容CEComplete
1. 概要Ⅰ インシデント初動対応 ・インシデントレスポンス全般の知識と初動対応
2. 概説Ⅱ デジタルフォレンジック ・デジタルフォレンジック概論
・証拠保全と解析の手順例
3. 概説III 復旧と再発対策 ・封じ込め/復旧、事後対応の概要と実例
4. インシデントの検知と初期対応 ・各種監視装置によるサイバー攻撃の防御方法
・検知イベントのトリアージ方法
・トリアージのためのOSINT調査
5. 通信ログ分析 ・プロキシサーバのログ分析による侵害機器の特定方法
・攻撃による影響範囲の調査方法
・エディタやシェルコマンドによるプロキシログのフィルタリング
6. 侵害機器の初動調査 ・ログから特定した侵害機器の隔離手順と揮発性情報の調査
・通信状態の調査と不審な通信プロセスの特定
7. 証拠保全I(ディスク、メモリ) ・侵害機器の証拠保全に関する基礎知識と実務
・ディスクおよびメモリから取得するアーティファクトの実例とメモリフォレンジック
8. 証拠保全II(CDIR-C、物理イメージ) ・ファストフォレンジック/フルフォレンジックにおける侵害機器の保全方法
・ファストフォレンジック用ツール(CDIR-C)による保全
・フルフォレンジック用に保全するディスクイメージの実際
9. マルウェア検体調査 ・マルウェア調査方法の種類と表層解析の実践手法
・表層解析によるハッシュ値算出、文字列やメタデータの抽出
10. マルウェア関連情報収集(VirusTotal等) ・マルウェア表層解析を端緒とした情報収集とサンドボックス解析
・VirusTotalによる情報収集、公開サンドボックスによる動的解析
11. 永続化されたマルウェアの調査(Registry) ・マルウェアの永続化手法
・レジストリ(Runキー)を解析対象アーティファクトとした永続化痕跡調査
・Runキーの登録方法と動作検証
・レジストリ(Runキー)のファストフォレンジック
12. マルウェアの実行履歴調査(Prefetch) ・不審なファイルの実行履歴の調査手法
・プリフェッチファイルの構造と参照
・プリフェッチのファストフォレンジック調査
13. 不審なイベントの調査(Event Log) ・マルウェアや侵入者による不審な挙動の履歴
・イベントログの調査手法
・イベントログ(EVTXファイル)の構造と参照
・イベントログのファストフォレンジック調査
14. 攻撃痕跡の調査(PowerShell、Registry等) ・不正なPowerShellスクリプトによる攻撃の痕跡調査
・不審な実行ファイルの痕跡調査
・イベントログに記録された不正なPowerShellスクリプト実行痕跡
・Amcache / Shimcache / WMIアーティファクトから不審な実行ファイルの痕跡を抽出する
15. アクティビティの調査(Web History、SRUM) ・Webアクセス履歴や最近使ったファイルの調査方法(ユーザー・アクティビティ)
・プロセス別ネットワーク利用履歴の調査方法(ネットワークアクティビティ)
16. ファイルシステムの調査(MFT) ・NTFSファイルシステムのメカニズム
・MFT(マスターファイルテーブル)の構造とファイルシステムの解析
・削除済みファイルの復元
・MFTのパースと不審なファイルの調査
17. ファイル操作履歴の調査(USN Journal) ・USNジャーナル(ファイル操作履歴)の構造と解析方法
・攻撃のタイムライン調査
18. MITRE ATT&CKによる脅威分析 ・攻撃者の戦術(TTPs)に着目した脅威分析
・MITRE ATT&CKによる脅威情報と緩和策/検知方法の調査
・ATT&CK Matrix( ATT&CK Navigator)による脅威情報のマッピング分析
19. ファストフォレンジック総合演習 ・感染したマルウェアの特定
・タイムライン分析
・インシデント発生原因の分析
・脅威ハンティング
・再発防止策の分析

スクリーンショット

text02.png
mission01.png
scoreboard.png
mission01.png

機密性を重視した依頼を送る際はこちらからお願いいたします。

cdiprivacydummy@protonmail.com