Cyder備忘録

Cyderとは?

  • 国立研究開発法人 情報通信研究機構が、脅威に対応できる情報システム管理者の育成を目的とした研修プログラム
  • 2020年には、Covid-19の影響で、教材が無料公開された
  • 主な内容は、インシデントハンドリングの体験学習トレーニング

検知

  • インシデント発生に関する予兆等の検知や連絡を受け付ける

    • 通知の発信源は正しいか?
    • 上位者へ第一報を報告すること
    • 速やかにPoCに連絡すること
    • ホームページなどでPoCの連絡先を公表しておくこと
    • 正確な状況確認を行う(メールにファイルは添付されてたか?リンクをクリックしたか?)
  • 不審メールの対応

    • メールヘッダを確認することで、「どこから」「どのような経路で」「いつ」送られてきたかが判断できる
      • N番目のReceivedヘッダのbyと、n+1番目のReceivedヘッダのfromが一致しない場合は、ヘッダ情報の改ざんが疑わしい
        参照:メールヘッダの見方
      • SPFレコードが一致しない場合、送信ドメインが詐称されている可能性

トリアージ

  • ヒアリング、ログ検査・分析などで事実関係を確認し、インシデントと判断した場合、被害状況と重要度に基づいて、対処の優先順位を付けること
    • プロキシログから、不正なC2サーバへの接続有無や、データの送受信について確認する
    • ログに記載された時刻が正確である必要があります。事前にNTP (Network Time Protocol)によって、組織内の機器の時刻を合わせておくことが重要
続きを読む