詳解インシデントレスポンスー現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで


詳解 インシデントレスポンス ―現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで


オライリー・ジャパン


著者:Steve Anson
訳者:石川朝久


はじめに

第1部 準備
1章 脅威の動向
1.1 攻撃者の動機
1.1.1 知的財産の盗用(Intellectual Property Theft)
1.1.2 サプライチェーン攻撃(Supply Chain Attack)
1.1.3 金銭的動機(Financial Fraud)
1.1.4 脅迫(Extortion)
1.1.5 スパイ活動(Espionage)
1.1.6 武力(Power)
1.1.7 ハクティビズム(Hacktivism)
1.1.8 報復(Revenge)
1.2 攻撃手法
1.2.1 DoSとDDoS
1.2.2 ワーム(Worms)
1.2.3 ランサムウェア(Ransomware)
1.2.4 フィッシング(Phishing)
1.2.5 スピアフィッシング(Spear Phishing)
1.2.6 水飲み場攻撃(Watering Hole Attacks)
1.2.7 Web攻撃
1.2.8 ワイヤレス攻撃(Wireless Attacks)
1.2.9 盗聴と中間者攻撃
1.2.10 クリプトマイニング(Crypto Mining)
1.2.11 パスワード攻撃
1.3 攻撃の解剖学
1.3.1 偵察(Reconnaissance)
1.3.2 エクスプロイト(Exploitation)
1.3.3 侵入拡大(Expansion/Entrenchment)
1.3.4 データ持ち出し・破壊(Exfiltration/Damage)
1.3.5 痕跡の削除(Clean Up)
1.4 現代の攻撃者像
1.4.1 認証情報、別名「王国への鍵」
1.5 まとめ

2章 インシデントへの準備
2.1 プロセスの準備
2.2 人材の育成
2.3 技術の準備
2.3.1 十分な可視化
2.3.2 インシデント対応担当者の装備
2.3.3 事業継続と災害復旧
2.3.4 デセプション技術(欺瞞:Deception)
2.4 まとめ

第2部 対応
3章 リモートトリアージ
3.1 悪意のある痕跡の検知
3.1.1 不正な接続
3.1.2 不審なプロセス
3.1.3 不審なポート
3.1.4 不審なサービス
3.1.5 不審なアカウント
3.1.6 不審なファイル
3.1.7 Autostart
3.2 認証情報の保護
3.2.1 対話型ログオンへの理解
3.2.2 インシデント対応における注意事項
3.2.3 RDP接続のための制限付き管理モードとRemote Credential Guard
3.3 まとめ

4章 リモートトリアージツール
4.1 WMICユーティリティ
4.1.1 WMIとWMIC構文への理解
4.1.2 「法科学的に適切」なアプローチ
4.1.3 WMICとWQLの要素
4.1.4 WMICコマンドの例
4.2 PowerShell
4.2.1 基本的なPowerShellコマンドレット
4.2.2 PowerShell Remoting
4.2.3 PowerShellによるWMI/MI/CIMへのアクセス
4.3 インシデント対応フレームワーク
4.4 まとめ

5章 メモリの取得
5.1 揮発性の順序
5.2 ローカルなメモリ収集
5.2.1 ストレージメディアの準備
5.2.2 収集プロセス
5.3 リモートからのメモリ取得
5.3.1 リモート接続のためのWMIC
5.3.2 リモート接続のためのPowerShell Remoting
5.3.3 リモート収集を行うエージェント
5.4 ライブメモリ解析
5.4.1 ローカルでのライブメモリ解析
5.4.2 リモートでのライブメモリ解析
5.5 まとめ

6章 ディスクイメージング
6.1 証拠の完全性の維持
6.2 デッドボックスイメージング
6.2.1 ハードウェアライトブロッカーの利用
6.2.2 ブート可能なLinuxディストリビューションを利用する方法
6.3 ライブイメージング
6.3.1 ローカルのライブイメージング
6.3.2 リモートからライブイメージの収集
6.4 仮想マシンのイメージング
6.5 まとめ

7章 ネットワークセキュリティ監視
7.1 Security Onion
7.1.1 アーキテクチャ
7.1.2 ツール
7.2 テキストベースのログ解析
7.3 まとめ

8章 イベントログ分析
8.1 イベントログの理解
8.2 アカウントに関連するイベント
8.3 オブジェクトアクセス監査
8.4 システム構成変更の監査
8.5 プロセス監査
8.6 PowerShellの監査
8.7 PowerShellによるイベントログ検索
8.8 まとめ

9章 メモリ解析
9.1 ベースラインの重要性
9.2 メモリデータのソース
9.3 VolatilityとRekallの利用
9.4 プロセスの検証
9.4.1 pslistプラグイン
9.4.2 pstreeプラグイン
9.4.3 dlllistプラグイン
9.4.4 psxviewプラグイン
9.4.5 handlesプラグイン
9.4.6 malfindプラグイン
9.5 Windowsサービスの検証
9.6 ネットワークアクティビティの検証
9.7 アノマリの検知
9.7.1 習うより慣れよ
9.8 まとめ

10章 マルウェア解析
10.1 オンライン解析サービス
10.2 表層解析
10.3 動的解析
10.3.1 手動による動的解析
10.3.2 自動化されたマルウェア解析
10.3.3 サンドボックス検知の回避
10.4 静的解析(リバースエンジニアリング)
10.5 まとめ

11章 ディスクフォレンジック
11.1 フォレンジックツール
11.2 タイムスタンプ分析
11.3 リンクファイルとジャンプリスト
11.4 Prefetch
11.5 システムリソース利用状況モニター
11.6 レジストリ解析
11.7 ブラウザアクティビティ
11.8 USNジャーナル
11.9 ボリュームシャドウコピー(Volume Shadow Copies)
11.10 トリアージの自動化
11.11 Linux/UNIXシステムアーティファクト
11.12 まとめ

12章 横断的侵害の分析
12.1 SMB(Server Message Block)
12.1.1 Pass-the-Hash攻撃
12.2 Kerberos攻撃
12.2.1 Pass-the-Ticket攻撃とOverpass-the-Hash攻撃
12.2.2 Golden TicketとSilver Ticket
12.2.3 Kerberoasting攻撃
12.3 PsExec
12.4 スケジュールされたタスク
12.5 サービス管理
12.6 RDP(Remote Desktop Protocol)
12.7 WMI(Windows Management Instrumentation)
12.8 Windows Remote Management
12.9 PowerShell Remoting
12.10 SSHトンネリングとその他のピボット
12.11 まとめ

第3部 精緻化
13章 継続的な改善
13.1 文書化、文書化、文書化
13.2 緩和策の検証
13.3 成功の積み重ねと、失敗からの学び
13.4 防御力の向上
13.4.1 特権アカウント
13.4.2 実行制御
13.4.3 PowerShell
13.4.4 セグメンテーションと隔離
13.5 まとめ

14章 プロアクティブな活動
14.1 脅威ハンティング
14.2 敵対的エミュレーション
14.2.1 Atomic Red Team
14.2.2 Caldera
14.3 まとめ

訳者あとがき
索引

書籍目次技術書籍

Posted by shi-n