詳解 インシデントレスポンス

―現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで

[cover photo]
TOPICS
Security
発行年月日
PRINT LENGTH
480
ISBN
978-4-87311-974-8
原書
Applied Incident Response
FORMAT
Print PDF EPUB
Ebook
4,620円
Ebookを購入する
Print
4,620円

インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。
本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセキュリティエンジニア、いずれの方にもお勧めできる一冊です。

正誤表

ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。

正誤表


第1刷までの修正
2022年5月更新

■P.15 17行目
【誤】Convert Channel
【正】Covert Channel

■P.54 表3.1 概要の3行目
【誤】MB(Server Message Block)
【正】SMB (Server Message Block)

■P.65 10行目
【誤】TGT(Ticket-Generating Ticket)
【正】TGT(Ticket Granting Ticket)

■P.73 下から7行目
【誤】where name="svchost .exe"
【正】where name="svchost.exe"
※「.exe」の前のスペースは不要

■P.118 下から8行目
【誤】winpmem -p C:pagefile.sys -o Client1.aff4
【正】winpmem -p C:\pagefile.sys -o Client1.aff4
※「C:」の後にバックスラッシュを追加

■P.159 5行目
【誤】%ProgramFiles%Access Data\ FTK Imager
【正】%ProgramFiles%\Access Data\FTK Imager
※「ProgramFiles%」の後にバックスラッシュを追加、「FTK」の前のスペースは不要

■P.331 10行目
【誤】mount ewf.py
【正】mount_ewf.py

目次

はじめに

第1部 準備

1章 脅威の動向
    1.1 攻撃者の動機
        1.1.1 知的財産の盗用(Intellectual Property Theft)
        1.1.2 サプライチェーン攻撃(Supply Chain Attack)
        1.1.3 金銭的動機(Financial Fraud)
        1.1.4 脅迫(Extortion)
        1.1.5 スパイ活動(Espionage)
        1.1.6 武力(Power)
        1.1.7 ハクティビズム(Hacktivism)
        1.1.8 報復(Revenge)
    1.2 攻撃手法
        1.2.1 DoSとDDoS
        1.2.2 ワーム(Worms)
        1.2.3 ランサムウェア(Ransomware)
        1.2.4 フィッシング(Phishing)
        1.2.5 スピアフィッシング(Spear Phishing)
        1.2.6 水飲み場攻撃(Watering Hole Attacks)
        1.2.7 Web攻撃
        1.2.8 ワイヤレス攻撃(Wireless Attacks)
        1.2.9 盗聴と中間者攻撃
        1.2.10 クリプトマイニング(Crypto Mining)
        1.2.11 パスワード攻撃
    1.3 攻撃の解剖学
        1.3.1 偵察(Reconnaissance)
        1.3.2 エクスプロイト(Exploitation)
        1.3.3 侵入拡大(Expansion/Entrenchment)
        1.3.4 データ持ち出し・破壊(Exfiltration/Damage)
        1.3.5 痕跡の削除(Clean Up)
    1.4 現代の攻撃者像
        1.4.1 認証情報、別名「王国への鍵」
    1.5 まとめ

2章 インシデントへの準備
    2.1 プロセスの準備
    2.2 人材の育成
    2.3 技術の準備
        2.3.1 十分な可視化
        2.3.2 インシデント対応担当者の装備
        2.3.3 事業継続と災害復旧
        2.3.4 デセプション技術(欺瞞:Deception)
    2.4 まとめ

第2部 対応

3章 リモートトリアージ
    3.1 悪意のある痕跡の検知
        3.1.1 不正な接続
        3.1.2 不審なプロセス
        3.1.3 不審なポート
        3.1.4 不審なサービス
        3.1.5 不審なアカウント
        3.1.6 不審なファイル
        3.1.7 Autostart
    3.2 認証情報の保護
        3.2.1 対話型ログオンへの理解
        3.2.2 インシデント対応における注意事項
        3.2.3 RDP接続のための制限付き管理モードとRemote Credential Guard
    3.3 まとめ

4章 リモートトリアージツール
    4.1 WMICユーティリティ
        4.1.1 WMIとWMIC構文への理解
        4.1.2 「法科学的に適切」なアプローチ
        4.1.3 WMICとWQLの要素
        4.1.4 WMICコマンドの例
    4.2 PowerShell
        4.2.1 基本的なPowerShellコマンドレット
        4.2.2 PowerShell Remoting
        4.2.3 PowerShellによるWMI/MI/CIMへのアクセス
    4.3 インシデント対応フレームワーク
    4.4 まとめ

5章 メモリの取得
    5.1 揮発性の順序
    5.2 ローカルなメモリ収集
        5.2.1 ストレージメディアの準備
        5.2.2 収集プロセス
    5.3 リモートからのメモリ取得
        5.3.1 リモート接続のためのWMIC
        5.3.2 リモート接続のためのPowerShell Remoting
        5.3.3 リモート収集を行うエージェント
    5.4 ライブメモリ解析
        5.4.1 ローカルでのライブメモリ解析
        5.4.2 リモートでのライブメモリ解析
    5.5 まとめ

6章 ディスクイメージング
    6.1 証拠の完全性の維持
    6.2 デッドボックスイメージング
        6.2.1 ハードウェアライトブロッカーの利用
        6.2.2 ブート可能なLinuxディストリビューションを利用する方法
    6.3 ライブイメージング
        6.3.1 ローカルのライブイメージング
        6.3.2 リモートからライブイメージの収集
    6.4 仮想マシンのイメージング
    6.5 まとめ

7章 ネットワークセキュリティ監視
    7.1 Security Onion
        7.1.1 アーキテクチャ
        7.1.2 ツール
    7.2 テキストベースのログ解析
    7.3 まとめ

8章 イベントログ分析
    8.1 イベントログの理解
    8.2 アカウントに関連するイベント
    8.3 オブジェクトアクセス監査
    8.4 システム構成変更の監査
    8.5 プロセス監査
    8.6 PowerShellの監査
    8.7 PowerShellによるイベントログ検索
    8.8 まとめ

9章 メモリ解析
    9.1 ベースラインの重要性
    9.2 メモリデータのソース
    9.3 VolatilityとRekallの利用
    9.4 プロセスの検証
        9.4.1 pslistプラグイン
        9.4.2 pstreeプラグイン
        9.4.3 dlllistプラグイン
        9.4.4 psxviewプラグイン
        9.4.5 handlesプラグイン
        9.4.6 malfindプラグイン
    9.5 Windowsサービスの検証
    9.6 ネットワークアクティビティの検証
    9.7 アノマリの検知
        9.7.1 習うより慣れよ
    9.8 まとめ

10章 マルウェア解析
    10.1 オンライン解析サービス
    10.2 表層解析
    10.3 動的解析
        10.3.1 手動による動的解析
        10.3.2 自動化されたマルウェア解析
        10.3.3 サンドボックス検知の回避
    10.4 静的解析(リバースエンジニアリング)
    10.5 まとめ

11章 ディスクフォレンジック
    11.1 フォレンジックツール
    11.2 タイムスタンプ分析
    11.3 リンクファイルとジャンプリスト
    11.4 Prefetch
    11.5 システムリソース利用状況モニター
    11.6 レジストリ解析
    11.7 ブラウザアクティビティ
    11.8 USNジャーナル
    11.9 ボリュームシャドウコピー(Volume Shadow Copies)
    11.10 トリアージの自動化
    11.11 Linux/UNIXシステムアーティファクト
    11.12 まとめ

12章 横断的侵害の分析
    12.1 SMB(Server Message Block)
        12.1.1 Pass-the-Hash攻撃
    12.2 Kerberos攻撃
        12.2.1 Pass-the-Ticket攻撃とOverpass-the-Hash攻撃
        12.2.2 Golden TicketとSilver Ticket
        12.2.3 Kerberoasting攻撃
    12.3 PsExec
    12.4 スケジュールされたタスク
    12.5 サービス管理
    12.6 RDP(Remote Desktop Protocol)
    12.7 WMI(Windows Management Instrumentation)
    12.8 Windows Remote Management
    12.9 PowerShell Remoting
    12.10 SSHトンネリングとその他のピボット
    12.11 まとめ

第3部 精緻化

13章 継続的な改善
    13.1 文書化、文書化、文書化
    13.2 緩和策の検証
    13.3 成功の積み重ねと、失敗からの学び
    13.4 防御力の向上
        13.4.1 特権アカウント
        13.4.2 実行制御
        13.4.3 PowerShell
        13.4.4 セグメンテーションと隔離
    13.5 まとめ

14章 プロアクティブな活動
    14.1 脅威ハンティング
    14.2 敵対的エミュレーション
        14.2.1 Atomic Red Team
        14.2.2 Caldera
    14.3 まとめ

訳者あとがき
索引