はじめに
今回、SANSのFOR608を受講し、GIAC Enterprise Incident Response(GEIR)試験に合格しました。本記事では、受講した感想と試験勉強について簡単にまとめます。
GEIRについて
GEIRは、FOR608の内容に準拠したGIAC認定資格です。公式サイトのとおり、3時間で82問を解答し、72%以上のスコアで合格となります。このうちCyberLive問題(ハンズオン問題)は7問でした。
試験勉強については、以下の過去記事が非常に参考になります。今回の受験でも、ほぼこの方法を踏襲しました。
私はこれまで複数のGIAC試験を受けてきましたが、GEIRの選択式問題の難易度はそれほど高くはないと感じました。ただし、CyberLive(ハンズオン形式)についてはやや難しい問題が含まれると感じました。これから受験される方には、トレーニング教材の演習を繰り返し行うことを強くおすすめします。
スコアは84%と悪くはなかったものの、CyberLive問題で1問だけどうしても解けないものがありました。Practitioner CertificationのCyberLive問題ではほとんど間違えたことがなかったため、正直かなりショックでした。
FOR608について
FOR608はEnterprise-Class Incident Response & Threat Huntingというタイトルの通り、大規模組織におけるインシデントレスポンスを扱うコースです。詳細なアジェンダは公式サイトをご参照ください。
コースは6日間構成で、1日目から5日目までは講義、6日目は「Capstone」と呼ばれるCTF形式の総合演習です。以下では、各日の簡単な感想と、最後に全体的な所感を記します。受講検討の参考になれば幸いです。
1日目:Proactive Detection and Response
初日は、インシデントレスポンスを効率化するためのチームマネジメントや、ハニーポットなどの検知手法、そしてTimesketchを用いたタイムライン分析が中心でした。
特に、技術だけでなくチーム運営面まで踏み込んで解説された点が印象的で、この日の満足度は非常に高かったです。
2日目:Scaling Response and Analysis
この日はVelociraptor、Sysmon、Elasticsearchを活用した侵害調査の演習が行われました。さらに、EDRの仕組みや攻撃者によるEDR回避手法についてもしっかり取り上げられており、実務的な知見が得られました。
3日目:Modern Attacks against Windows and Linux DFIR
LOLBASをはじめとした近年の攻撃手法、SigmaルールやHayabusaの活用、Linux調査手法などがテーマでした。
Linux調査は既知の内容が多く、新規性はやや薄かった印象です。Linuxのフォレンジックを深く学びたい場合は、FOR577の受講が適していると感じました。
4日目:Analyzing macOS and Docker Containers
個人的に最も楽しみにしていた日です。
macOSの解析やDocker調査が取り上げられました。内容自体は既知のものが多かったのですが、直前にDockerのインシデント対応を経験していたため、講師に直接質問できたのは大きな収穫でした。
5日目:Cloud Attacks and Response
Azure、M365、AWSにおける攻撃と対応方法を学びました。
満足度は高かったものの、MicrosoftとAWS以外のクラウドサービスは扱われない点には注意が必要です。
6日目:Capstone: Enterprise-Class IR Challenge
最終日は、架空の組織を対象にしたフォレンジック調査CTFです。
結果としては敗北しコイン獲得はなりませんでしたが、特にTimesketchの実践的な使い方を深く理解できたため、個人的には有意義でした。
全体を通して
総じて非常に満足度の高いコースでした。既知の内容もありましたが、新たな学びも多く、高額な受講料に見合う価値があったと感じます。
これから受講する方へのポイントとしては以下です。
- Windowsの個別アーティファクト(Prefetch、Shellbagsなど)は説明されない前提なので、事前に知識を固めておく。(Windowsフォレンジックの経験が数年あれば十分)
- LinuxやmacOSの詳細知識は不要だが、Linuxの基本コマンドは理解必須。
- クラウドはMicrosoftとAWSに限定されるため、自分の業務領域に合うか事前確認を推奨。(ただし他のクラウドサービスを使っている場合でも役に立つ点は多いと思います)