インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。
本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセキュリティエンジニア、いずれの方にもお勧めできる一冊です。
詳解 インシデントレスポンス
―現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで
Steve Anson 著、石川 朝久 訳
- TOPICS
- Security
- 発行年月日
- 2022年01月
- PRINT LENGTH
- 480
- ISBN
- 978-4-87311-974-8
- 原書
- Applied Incident Response
- FORMAT
- Print PDF EPUB
正誤表
ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。
正誤表
第1刷までの修正
2022年5月更新
■P.15 17行目
【誤】Convert Channel
【正】Covert Channel
■P.54 表3.1 概要の3行目
【誤】MB(Server Message Block)
【正】SMB (Server Message Block)
■P.65 10行目
【誤】TGT(Ticket-Generating Ticket)
【正】TGT(Ticket Granting Ticket)
■P.73 下から7行目
【誤】where name="svchost .exe"
【正】where name="svchost.exe"
※「.exe」の前のスペースは不要
■P.118 下から8行目
【誤】winpmem -p C:pagefile.sys -o Client1.aff4
【正】winpmem -p C:\pagefile.sys -o Client1.aff4
※「C:」の後にバックスラッシュを追加
■P.159 5行目
【誤】%ProgramFiles%Access Data\ FTK Imager
【正】%ProgramFiles%\Access Data\FTK Imager
※「ProgramFiles%」の後にバックスラッシュを追加、「FTK」の前のスペースは不要
■P.331 10行目
【誤】mount ewf.py
【正】mount_ewf.py
目次
はじめに 第1部 準備 1章 脅威の動向 1.1 攻撃者の動機 1.1.1 知的財産の盗用(Intellectual Property Theft) 1.1.2 サプライチェーン攻撃(Supply Chain Attack) 1.1.3 金銭的動機(Financial Fraud) 1.1.4 脅迫(Extortion) 1.1.5 スパイ活動(Espionage) 1.1.6 武力(Power) 1.1.7 ハクティビズム(Hacktivism) 1.1.8 報復(Revenge) 1.2 攻撃手法 1.2.1 DoSとDDoS 1.2.2 ワーム(Worms) 1.2.3 ランサムウェア(Ransomware) 1.2.4 フィッシング(Phishing) 1.2.5 スピアフィッシング(Spear Phishing) 1.2.6 水飲み場攻撃(Watering Hole Attacks) 1.2.7 Web攻撃 1.2.8 ワイヤレス攻撃(Wireless Attacks) 1.2.9 盗聴と中間者攻撃 1.2.10 クリプトマイニング(Crypto Mining) 1.2.11 パスワード攻撃 1.3 攻撃の解剖学 1.3.1 偵察(Reconnaissance) 1.3.2 エクスプロイト(Exploitation) 1.3.3 侵入拡大(Expansion/Entrenchment) 1.3.4 データ持ち出し・破壊(Exfiltration/Damage) 1.3.5 痕跡の削除(Clean Up) 1.4 現代の攻撃者像 1.4.1 認証情報、別名「王国への鍵」 1.5 まとめ 2章 インシデントへの準備 2.1 プロセスの準備 2.2 人材の育成 2.3 技術の準備 2.3.1 十分な可視化 2.3.2 インシデント対応担当者の装備 2.3.3 事業継続と災害復旧 2.3.4 デセプション技術(欺瞞:Deception) 2.4 まとめ 第2部 対応 3章 リモートトリアージ 3.1 悪意のある痕跡の検知 3.1.1 不正な接続 3.1.2 不審なプロセス 3.1.3 不審なポート 3.1.4 不審なサービス 3.1.5 不審なアカウント 3.1.6 不審なファイル 3.1.7 Autostart 3.2 認証情報の保護 3.2.1 対話型ログオンへの理解 3.2.2 インシデント対応における注意事項 3.2.3 RDP接続のための制限付き管理モードとRemote Credential Guard 3.3 まとめ 4章 リモートトリアージツール 4.1 WMICユーティリティ 4.1.1 WMIとWMIC構文への理解 4.1.2 「法科学的に適切」なアプローチ 4.1.3 WMICとWQLの要素 4.1.4 WMICコマンドの例 4.2 PowerShell 4.2.1 基本的なPowerShellコマンドレット 4.2.2 PowerShell Remoting 4.2.3 PowerShellによるWMI/MI/CIMへのアクセス 4.3 インシデント対応フレームワーク 4.4 まとめ 5章 メモリの取得 5.1 揮発性の順序 5.2 ローカルなメモリ収集 5.2.1 ストレージメディアの準備 5.2.2 収集プロセス 5.3 リモートからのメモリ取得 5.3.1 リモート接続のためのWMIC 5.3.2 リモート接続のためのPowerShell Remoting 5.3.3 リモート収集を行うエージェント 5.4 ライブメモリ解析 5.4.1 ローカルでのライブメモリ解析 5.4.2 リモートでのライブメモリ解析 5.5 まとめ 6章 ディスクイメージング 6.1 証拠の完全性の維持 6.2 デッドボックスイメージング 6.2.1 ハードウェアライトブロッカーの利用 6.2.2 ブート可能なLinuxディストリビューションを利用する方法 6.3 ライブイメージング 6.3.1 ローカルのライブイメージング 6.3.2 リモートからライブイメージの収集 6.4 仮想マシンのイメージング 6.5 まとめ 7章 ネットワークセキュリティ監視 7.1 Security Onion 7.1.1 アーキテクチャ 7.1.2 ツール 7.2 テキストベースのログ解析 7.3 まとめ 8章 イベントログ分析 8.1 イベントログの理解 8.2 アカウントに関連するイベント 8.3 オブジェクトアクセス監査 8.4 システム構成変更の監査 8.5 プロセス監査 8.6 PowerShellの監査 8.7 PowerShellによるイベントログ検索 8.8 まとめ 9章 メモリ解析 9.1 ベースラインの重要性 9.2 メモリデータのソース 9.3 VolatilityとRekallの利用 9.4 プロセスの検証 9.4.1 pslistプラグイン 9.4.2 pstreeプラグイン 9.4.3 dlllistプラグイン 9.4.4 psxviewプラグイン 9.4.5 handlesプラグイン 9.4.6 malfindプラグイン 9.5 Windowsサービスの検証 9.6 ネットワークアクティビティの検証 9.7 アノマリの検知 9.7.1 習うより慣れよ 9.8 まとめ 10章 マルウェア解析 10.1 オンライン解析サービス 10.2 表層解析 10.3 動的解析 10.3.1 手動による動的解析 10.3.2 自動化されたマルウェア解析 10.3.3 サンドボックス検知の回避 10.4 静的解析(リバースエンジニアリング) 10.5 まとめ 11章 ディスクフォレンジック 11.1 フォレンジックツール 11.2 タイムスタンプ分析 11.3 リンクファイルとジャンプリスト 11.4 Prefetch 11.5 システムリソース利用状況モニター 11.6 レジストリ解析 11.7 ブラウザアクティビティ 11.8 USNジャーナル 11.9 ボリュームシャドウコピー(Volume Shadow Copies) 11.10 トリアージの自動化 11.11 Linux/UNIXシステムアーティファクト 11.12 まとめ 12章 横断的侵害の分析 12.1 SMB(Server Message Block) 12.1.1 Pass-the-Hash攻撃 12.2 Kerberos攻撃 12.2.1 Pass-the-Ticket攻撃とOverpass-the-Hash攻撃 12.2.2 Golden TicketとSilver Ticket 12.2.3 Kerberoasting攻撃 12.3 PsExec 12.4 スケジュールされたタスク 12.5 サービス管理 12.6 RDP(Remote Desktop Protocol) 12.7 WMI(Windows Management Instrumentation) 12.8 Windows Remote Management 12.9 PowerShell Remoting 12.10 SSHトンネリングとその他のピボット 12.11 まとめ 第3部 精緻化 13章 継続的な改善 13.1 文書化、文書化、文書化 13.2 緩和策の検証 13.3 成功の積み重ねと、失敗からの学び 13.4 防御力の向上 13.4.1 特権アカウント 13.4.2 実行制御 13.4.3 PowerShell 13.4.4 セグメンテーションと隔離 13.5 まとめ 14章 プロアクティブな活動 14.1 脅威ハンティング 14.2 敵対的エミュレーション 14.2.1 Atomic Red Team 14.2.2 Caldera 14.3 まとめ 訳者あとがき 索引