詳解 インシデントレスポンス
現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで
- Steve Anson 著、石川 朝久 訳
- 2022年01月 発行
- 480ページ
- ISBN978-4-87311-974-8
- フォーマット Print PDF ePub
- 原書: Applied Incident Response
4,620円
書籍のご注文はオーム社サイトへ
内容
インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。
本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセキュリティエンジニア、いずれの方にもお勧めできる一冊です。
関連書籍
目次
はじめに 第1部 準備 1章 脅威の動向 1.1 攻撃者の動機 1.1.1 知的財産の盗用(Intellectual Property Theft) 1.1.2 サプライチェーン攻撃(Supply Chain Attack) 1.1.3 金銭的動機(Financial Fraud) 1.1.4 脅迫(Extortion) 1.1.5 スパイ活動(Espionage) 1.1.6 武力(Power) 1.1.7 ハクティビズム(Hacktivism) 1.1.8 報復(Revenge) 1.2 攻撃手法 1.2.1 DoSとDDoS 1.2.2 ワーム(Worms) 1.2.3 ランサムウェア(Ransomware) 1.2.4 フィッシング(Phishing) 1.2.5 スピアフィッシング(Spear Phishing) 1.2.6 水飲み場攻撃(Watering Hole Attacks) 1.2.7 Web攻撃 1.2.8 ワイヤレス攻撃(Wireless Attacks) 1.2.9 盗聴と中間者攻撃 1.2.10 クリプトマイニング(Crypto Mining) 1.2.11 パスワード攻撃 1.3 攻撃の解剖学 1.3.1 偵察(Reconnaissance) 1.3.2 エクスプロイト(Exploitation) 1.3.3 侵入拡大(Expansion/Entrenchment) 1.3.4 データ持ち出し・破壊(Exfiltration/Damage) 1.3.5 痕跡の削除(Clean Up) 1.4 現代の攻撃者像 1.4.1 認証情報、別名「王国への鍵」 1.5 まとめ 2章 インシデントへの準備 2.1 プロセスの準備 2.2 人材の育成 2.3 技術の準備 2.3.1 十分な可視化 2.3.2 インシデント対応担当者の装備 2.3.3 事業継続と災害復旧 2.3.4 デセプション技術(欺瞞:Deception) 2.4 まとめ 第2部 対応 3章 リモートトリアージ 3.1 悪意のある痕跡の検知 3.1.1 不正な接続 3.1.2 不審なプロセス 3.1.3 不審なポート 3.1.4 不審なサービス 3.1.5 不審なアカウント 3.1.6 不審なファイル 3.1.7 Autostart 3.2 認証情報の保護 3.2.1 対話型ログオンへの理解 3.2.2 インシデント対応における注意事項 3.2.3 RDP接続のための制限付き管理モードとRemote Credential Guard 3.3 まとめ 4章 リモートトリアージツール 4.1 WMICユーティリティ 4.1.1 WMIとWMIC構文への理解 4.1.2 「法科学的に適切」なアプローチ 4.1.3 WMICとWQLの要素 4.1.4 WMICコマンドの例 4.2 PowerShell 4.2.1 基本的なPowerShellコマンドレット 4.2.2 PowerShell Remoting 4.2.3 PowerShellによるWMI/MI/CIMへのアクセス 4.3 インシデント対応フレームワーク 4.4 まとめ 5章 メモリの取得 5.1 揮発性の順序 5.2 ローカルなメモリ収集 5.2.1 ストレージメディアの準備 5.2.2 収集プロセス 5.3 リモートからのメモリ取得 5.3.1 リモート接続のためのWMIC 5.3.2 リモート接続のためのPowerShell Remoting 5.3.3 リモート収集を行うエージェント 5.4 ライブメモリ解析 5.4.1 ローカルでのライブメモリ解析 5.4.2 リモートでのライブメモリ解析 5.5 まとめ 6章 ディスクイメージング 6.1 証拠の完全性の維持 6.2 デッドボックスイメージング 6.2.1 ハードウェアライトブロッカーの利用 6.2.2 ブート可能なLinuxディストリビューションを利用する方法 6.3 ライブイメージング 6.3.1 ローカルのライブイメージング 6.3.2 リモートからライブイメージの収集 6.4 仮想マシンのイメージング 6.5 まとめ 7章 ネットワークセキュリティ監視 7.1 Security Onion 7.1.1 アーキテクチャ 7.1.2 ツール 7.2 テキストベースのログ解析 7.3 まとめ 8章 イベントログ分析 8.1 イベントログの理解 8.2 アカウントに関連するイベント 8.3 オブジェクトアクセス監査 8.4 システム構成変更の監査 8.5 プロセス監査 8.6 PowerShellの監査 8.7 PowerShellによるイベントログ検索 8.8 まとめ 9章 メモリ解析 9.1 ベースラインの重要性 9.2 メモリデータのソース 9.3 VolatilityとRekallの利用 9.4 プロセスの検証 9.4.1 pslistプラグイン 9.4.2 pstreeプラグイン 9.4.3 dlllistプラグイン 9.4.4 psxviewプラグイン 9.4.5 handlesプラグイン 9.4.6 malfindプラグイン 9.5 Windowsサービスの検証 9.6 ネットワークアクティビティの検証 9.7 アノマリの検知 9.7.1 習うより慣れよ 9.8 まとめ 10章 マルウェア解析 10.1 オンライン解析サービス 10.2 表層解析 10.3 動的解析 10.3.1 手動による動的解析 10.3.2 自動化されたマルウェア解析 10.3.3 サンドボックス検知の回避 10.4 静的解析(リバースエンジニアリング) 10.5 まとめ 11章 ディスクフォレンジック 11.1 フォレンジックツール 11.2 タイムスタンプ分析 11.3 リンクファイルとジャンプリスト 11.4 Prefetch 11.5 システムリソース利用状況モニター 11.6 レジストリ解析 11.7 ブラウザアクティビティ 11.8 USNジャーナル 11.9 ボリュームシャドウコピー(Volume Shadow Copies) 11.10 トリアージの自動化 11.11 Linux/UNIXシステムアーティファクト 11.12 まとめ 12章 横断的侵害の分析 12.1 SMB(Server Message Block) 12.1.1 Pass-the-Hash攻撃 12.2 Kerberos攻撃 12.2.1 Pass-the-Ticket攻撃とOverpass-the-Hash攻撃 12.2.2 Golden TicketとSilver Ticket 12.2.3 Kerberoasting攻撃 12.3 PsExec 12.4 スケジュールされたタスク 12.5 サービス管理 12.6 RDP(Remote Desktop Protocol) 12.7 WMI(Windows Management Instrumentation) 12.8 Windows Remote Management 12.9 PowerShell Remoting 12.10 SSHトンネリングとその他のピボット 12.11 まとめ 第3部 精緻化 13章 継続的な改善 13.1 文書化、文書化、文書化 13.2 緩和策の検証 13.3 成功の積み重ねと、失敗からの学び 13.4 防御力の向上 13.4.1 特権アカウント 13.4.2 実行制御 13.4.3 PowerShell 13.4.4 セグメンテーションと隔離 13.5 まとめ 14章 プロアクティブな活動 14.1 脅威ハンティング 14.2 敵対的エミュレーション 14.2.1 Atomic Red Team 14.2.2 Caldera 14.3 まとめ 訳者あとがき 索引