エンドポイント解析ハンズオンを終えて

SOCYETIとして初めての試みだったハンズオン。 最終的には15社36名が参加し、無事完遂することができました。ありがとうございます。

今回は、EDR製品を10種類以上目利きし、SOCで運用もしている林さん（SOCYETIの発起人の一人でもあります）を講師に、みんなでEDR解析を体験してみました。

ハンズオンの流れとしては、EDR解析の勘所の解説、ツール（Redline）の使い方レクチャー、各自で解析体験、答え合わせ、というような流れで進めました。

解析体験では、怪しげな実行ファイルのパスとファイル名だけが示されるところから、侵入経路や被害の内容を解明していく流れを体験できました。

ツールとしてはRedlineでしたので、トリアージファイルと呼ばれる、プロセスやレジストリの情報、イベントログ、ネットワーク挙動の断片が残されたデータを元に解析するものでした。

EDR製品はFireEye HX, Carbon Black, Cyber Reasonなど様々なものが出てきておりますが、それぞれが全く異なる特徴を持ち、使い勝手や分析方針も大きく異なります。そのため、すでにとあるEDR製品を運用しているSOCメンバーであっても、「今回の解析内容は新鮮に感じた」と言っていたりと、各メンバー学びは多かったようです。

後半はいつものように、そのまま懇談会へ突入。今回はDirectPollというものを使って、リアルタイム匿名アンケートを実施してみました！

左が結果画面で、右が投票用URLのQRコードになってますが、リアルタイムに棒グラフが積み上がっていくのでかなり盛り上がりました。無料ということでかなりオススメです。ただし、リンクを知っていれば誰でも結果を見ることが可能なので、アンケート内容にはご注意を。（とは言え、今回は結構攻めてましたね…）

今後も、商用SOCメンバーでもプライベートSOCメンバーでも楽しみながらレベルアップできるようなハンズオンを企画していきたいと思います。

今回参加できなかったSOCアナリストのみなさまも次回をご期待ください！

参考リンク：