Windowsフォレンジック演習(攻撃者Windows PCのタイムライン解析)(2日間) |
コースの概要 |
コンピュータシステムには各種のログやファイルシステムのタイムスタンプなど、さまざまな時刻情報が記録されています。これらの時刻情報を基にインシデント発生前後における事象を時間軸に沿って解析する作業をタイムライン解析と呼びます。タイムライン解析はセキュリティ・インシデントの原因や影響範囲を解明するうえで非常に役に立ちますが、一方で多くの場合、記録されている時刻情報は極めて大量に存在するため、効率的なデータ処理やわかりやすい情報の整理がタイムライン解析を行う上での重要なポイントとなります。
本コースではWebサイトに対する不正アクセスというシナリオに基づき、用意された攻撃者のコンピュータ(Windows 11)のイメージデータから時刻情報を抽出、受講者自身によりタイムラインを作成し、さらに考察を加えるといった演習を行うことで、各種フリーツールを用いた実践的なタイムライン解析手法を身につけます。
|
講師 |
合同会社セキュリティ・プロフェッショナルズ・ネットワーク 塩月誠人 |
想定する受講者層 |
情報セキュリティ担当者、システム管理者、セキュリティ監査技術者、デジタル・フォレンジック技術者、それらを目指す若手の技術者など |
前提とする知識・技能 |
Windowsの基本的なGUI操作/WindowsおよびLinuxのコマンドライン操作が可能なこと、デジタル・フォレンジック作業に関する基礎知識があること
|
使用OS |
Windows 10、WSL 2 Ubuntu |
主な使用ツール |
The Sleuth Kit、RegRipper 3.0、UsnJrnl2Csv、EvtxECmd、PECmd、LECmd、JLECmd、RECmd、JumpListsView、BrowsingHistoryView、ChromeCacheView、Srum-dump、Rifiuti2、Log2timeline / Plaso、Timeline Explorer、Registry Explorer、Thunderbird-Email-Parser、Dislocker、CredDump7 |
コース内容(予定) |
1)イントロダクション
タイムライン解析とは、演習環境、使用ツール、インシデントの概要、イメージファイルからのデータ収集、演習の流れ
|
2)攻撃者Windows PCの構成調査
パーティション/ファイルシステム情報、OSシステム情報、ローカルアカウント情報、ネットワークインターフェイス情報、ネットワークプロファイル情報、USBストレージ情報、ディスクドライブ情報
|
3)タイムライン情報の抽出
ファイルシステム、NTFSジャーナル、イベントログ、レジストリ、プリフェッチ、ごみ箱、Recent / ジャンプリスト、Webアクセス履歴、SRUM、Log2timeline / Plaso、Timeline Explorer
|
4)タイムラインの作成
Webサーバのタイムスタンプ、システムの起動・停止、ユーザのログオン・ログオフ、ネットワークの接続、プログラムの起動・停止、ソフトウェアのインストール、ドライブのマウント・アンマウント、ファイル/フォルダ/Webサイトへのアクセス、ファイルアクセスの詳細履歴
|
5)タイムラインの考察
6)タイムラインの考察結果
|