コース概要
モジュール1:SIEM/基礎、アーキテクチャ、およびエコシステムの概要
SIEM(セキュリティ情報およびイベント管理)の基礎知識、IBM QRadarプラットフォームのアーキテクチャ、そのエコシステム統合、XDR、SOAR、脅威インテリジェンスプラットフォームを含む広範なセキュリティ分析環境について包括的な理解を確立します。
1.1 セキュリティ分析とSIEMの基礎
- SIEMの展開:ログ管理からセキュリティ分析への変遷
- SIEM、SOAR、XDRの違い:セキュリティツール Convergeance(統合)の理解
- コアSIEMコンポーネント:ログ収集、正規化、相関関係、アラート
- SOCアナリストのワークフロー:検出、トライアージ(優先度付け)、調査、対応
- MITRE ATT&CKフレームワークの概要とSIEMマッピングにおける役割
1.2 IBM QRadarプラットフォームアーキテクチャ
- QRadarオンプレミスアーキテクチャ:イベントプロセッサ、ログマネージャー、コンソール、フロープロセッサ
- QRadar on Cloud:マルチテナントアーキテクチャ、取り込みモデル、スケーラビリティ
- QRadarハイブリッドクラウド展開:オンプレミス機能とクラウド機能の統合
- 展開オプション:仮想アプライアンス、ハードウェアアプライアンス、SaaS
- 高可用性(HA)およびActive-Passive対Active-Active構成
1.3 QRadarコンポーネントとコンソールナビゲーション
- IBM QRadar Console:インターフェース概要、ワークスペース、ダッシュボード、ナビゲーション
- 補完アプリ、QRadar App Framework、IBM App Exchange
- Context Explorer、Risk Analyzer、脅威インテリジェンス統合
- データモデル:QRにおけるホスト、デバイス、プロトコル、カテゴリ
1.4 QRadarエコシステム
- IBM QRadar SOAR:セキュリティオーケストレーションおよび自動応答の統合
- IBM QRadar EDR:エンドポイント検出および応答の統合
- 脅威インテリジェンスの統合(VTIフィード、カスタム脅威フィード)
- SIEMツールとの統合:Splunk、Elastic SIEM、IBM QRadar(ログソース管理)
1.5 IBMセキュリティスイートとの統合
- 自動化およびプレイブックオーケストレーションのためのIBM QRadar SOAR統合
- エンドポイントテレメトリのためのIBM QRadar EDR統合
- IBM QRadar VTI(脆弱性および脅威インテリジェンス)統合
- IBM QRadar App Exchangeアプリおよびアドオン
- IBM QRadar Network Integration Platform (NFI) 統合
市場に適合するコンピテンシー: SIEMの基礎、セキュリティ情報およびイベント管理、IBM QRadarプラットフォームアーキテクチャ、QRadarオンプレミス展開、QRadarクラウドアーキテクチャ、ハイブリッドクラウドセキュリティ、SOC運用とSIEM、セキュリティ分析、XDR統合、SOARプラットフォーム統合、脅威インテリジェンスプラットフォーム(TIP)、MITRE ATT&CKフレームワークマッピング、セキュリティツールの統合、エンタープライズセキュリティアーキテクチャ、ログ管理と分析、SIAMスケーラビリティとキャパシティプランニング、高可用性(HA)構成、QRadarコンソールナビゲーションと設定
モジュール2:ログソース管理、データ取り込み、および正規化
オンプレミス、クラウド、ハイブリッド環境全体にわたってエンタープライズレベルのセキュリティ可視性を確立するために不可欠な、ログソース設定、データ収集戦略、ログ正規化、プロトコルについて深く掘り下げて学びます。
2.1 ログソース設定とプロトコル
- ログ収集方法:Syslog (RSYSLOG)、ネットワーク接続 (CEF)、共通イベント形式(Common Event Format, CEF)、およびQRadar Common Event Format (CEF)
- CEFプロトコル:ヘッダー、拡張子名、カスタム拡張子、CEF-to-CEFマッピング
- ネットワークベースのログ収集:NetFlow v5/v9、IPFIX (sFlow)
- エージェントベースの収集(IBM QRadar Agent)によるエンドポイント可視性
- Active Directory、DNS、DHCP、HTTP、SMTP、およびデータベースログソースの設定
- ログソース展開のベストプラクティス:高スループットソース、圧縮、暗号化
2.2 データ取り込みとキャパシティプランニング
- 日次ログファイルボリューム(GLP)および日次イベントデータ取り込み容量の理解
- データ保持ポリシーおよびコンプライアンス駆動の保持管理
- コスト制御のためのログソースの優先順位付けとイベントフィルタリング
- エンタープライズスケールでのSIEM展開のためのキャパシティプランニング
- 大規模環境向けのサイズ算出とパフォーマンス最適化
2.3 ログ正規化と分類
- QRadar正規化エンジン:ネイティブログ形式をQRadarプロトコルにマッピングする
- ログソースプロパティマネージャーおよびプロトコルマッピング
- 専用ログのためのカスタムログソース作成
- イベント、フロー、ログソースのマッピング
- 正規化ルールと解析問題のトラブルシューティング
市場に適合するコンピテンシー: ログソース管理、Syslog設定、CEFプロトコル、ネットワーク接続(CEF)、QRadar Agent展開、Active Directoryログ収集、DNSおよびDHCPログ収集、HTTP/SおよびSMTPログ収集、データベースログ収集(CEF)統合、NetFlowおよびIPFIX収集、エージェントレスSIEM展開、エンタープライズログ収集戦略、ログ正規化、プロトコルマッピング、カスタムログソース設定、イベント解析と分類、日次ログボリューム(DLV)見積もり、SIAMキャパシティプランニング、大規模SIAMのパフォーマンスタuning、コンプライアンス駆動データ保持
モジュール3:検出、相関関係、およびルール開発
SIEM運用のコア部分:単純なイベントルールから、攻撃、異常、ポリシー違反を特定する複雑な複合相関ルールまで、検出ルールの構築、テスト、管理を行います。
SIEM運用のコア部分:単純なイベントルールから、攻撃、異常、ポリシー違反を特定する複雑な複合相関ルールまで、検出ルールの構築、テスト、管理を行います。
3.1 イベントルールと集計ルール
- イベントルール:フィルタリング、フィールドの抽出、生イベントからカスタム属性の作成
- 集計ルール:IP、プロトコル、ユーザーなどでイベントをカウントおよびグループ化
- 集計ルールのアクション:通知、カウンターの閾値、カスタムプロパティ
- ルールの有効化、ルール順序付け、ルール実行ロジック
3.2 複合相関ルール
- 複合相関ルールの構築:複数のソースからのデータを結合する
- ルールタイプ:イベント、集計、複合相関
- 複合ルールコンポーネント:トリガー、集計、相関関係、アクション
- 相関ロジック:時系列相関、閾値相関、文脈的相関
- 予測および相関ルールプロパティ:信頼度レベル、重大度、エスカレーション
- 効果的な相関ルールの記述:アラートファティグの回避とシグナル品質の確保
3.3 MITRE ATT&CK技法に対する検出ルール
- MITRE ATT&CK技法にマッピングされたルール:初期アクセス、実行、永続化、特権昇格、防御回避、資格情報アクセス、発見、横断的移動、収集、コマンドおよびコントロール(C2)、盗み出し
- 特定の攻撃カテゴリに対するカスタム検出:
- 対象ルール:ブルートフォース、ポートスキャン、マルウェア通信、内部者脅威、横断的移動、特権昇格、データ盗み出し、コマンドおよびコントロール(C2)
- 対象ルール:ブルートフォース認証失敗、ポートスキャン、SQLインジェクション、DNSトンネリング、特権昇格、パスザハッシュによる横断的移動
3.4 QRadarルールを使用した脅威ハンティング
- QRadarを使用したプロアクティブな脅威ハンティング手法
- 未知/ゼロデイ脅威検出のためのルールの構築
- 振る舞い分析およびベースライン外れ検出ルール
市場に適合するコンピテンシー: イベントルール開発、集計ルールの作成、複合相関ルールの開発、カスタム相関ルール設計、MITRE ATT&CKマッピング、脅威検出エンジニアリング、攻撃技法のマッピング(初期アクセス、実行、永続化、特権昇格、防御回避、資格情報アクセス、発見、横断的移動、収集、コマンドおよびコントロール、盗み出し)、マルウェア通信検出、SQLインジェクション検出、DNSトンネリング検出、特権昇格ルール、ブルートフォース検出、横断的移動検出、内部者脅威検出、データ盗み出し検出、コマンドおよびコントロール(C2)検出、アラートファティグ管理、ルールの調整と最適化、SOC検出ルールエンジニアリング、プロアクティブな脅威ハンティング
モジュール4:QRadar Offenseエンジンとインシデント調査
QRadar Offenseエンジンを深くカバーします:フェンスの作成、調査ワークフロー、コンテキスト分析、偽陽性の管理、トライアージ、インシデント対応。
4.1 Offenseエンジン
- Offenseの作成、集計、ライフサイクル管理
- Offesseのプロパティ:重大度、信頼度、ステータス、帰属
- Offence集計ロジック:関連するイベントを意味のあるインシデントにグループ化
- Offenseのエスカレーション、割り当て、ワークフロー管理
4.2 インシデント調査とコンテキスト分析
- 深いイベント分析とタイムライン再構成のためのContext Explorer
- イベントタイムライン分析:セキュリティインシデンの時系列再構成
- IPアドレス分析およびレピュテーション(脅威インテリジェンス)強化
- ユーザーおよび資産のコンテキスト:ユーザーアクティビティ、ホストインベントリ、資産リスク分析
- フェンスおよびイベント詳細ビューでの相関イベント
- イベント相関、イベントグループ化、証拠収集
4.3 脅威インテリジェンスの統合
- 脆弱性および脅威インテリジェンス(VTI)フィードの統合
- IBM QRadar VTIによる自動化された脅威インテリジェンス強化
- カスタム脅威フィードのアップロードおよび脅威行為者プロファイル
- フェスおよびリスク分析における脅威インテリジェンスのコンテキスト
4.4 偽陽性の管理とルールの調整
- Offenceエンジンでの偽陽性の特定と分類
- 偽陽性抑制ルールおよび抑制ワークフロー
- ルールの調整:検出感度を維持しながらノイズを減らす
- 継続的改善のための偽陽性インシデントの文書化
市場に適合するコンピテンシー: QRadar Offenseエンジン管理、インシデント調査および分析、脅威調査、Context Explorerの使用、イベントタイムライン分析、IPレピュテーション分析、資産リスク分析、脅威インテリジェンス強化、VTIフィード統合、偽陽性管理、アラート調整とノイズ削減、SOCインシデント対応ワークフロー、セキュリティインシデントライフサイクル、侵害指標分析、サイバー脅威帰属
モジュール5:QRadar脆弱性管理(QVM)およびRisk Manager(QRM)
IBM QVMを深くカバーします:脆弱性スキャン統合、リスクベースの脆弱性優先順位付け、リスク管理設定、リスク駆動のセキュリティ姿勢評価。
5.1 IBM QRadar Vulnerability Manager (QVM)
- QVMアーキテクチャ:Nessus、Qualys、Rapid7スキャナーとの統合
- 脆弱性スキャンワークフローおよびスキャンスケジュール
- 脆弱性評価結果の解析とQRadar統合
- CVSSスコアの相関関係と脆弱性の重大度分類
- 脆弱性のトレンド分析および修正優先順位付け
5.2 IBM QRadar Risk Manager (QRM)
- QRMアーキテクチャ:リスク算出エンジンおよびリスクスコアリング手法
- リスクルールの設定:資産の重要度、脆弱性エクスプロイトの可能性、資産リスクプロファイル
- リスクスコアの算出:脆弱性情報、脅威インテリジェンス、フェスデータ、資産価値の結合
- リスクベースの資産ランク付けおよびリスクダッシュボードの設定
- リスク駆動の資産優先順位付けおよびリスク駆動の修正優先順位付け
市場に適合するコンピテンシー: 脆弱性評価と管理、IBM QRadar Vulnerability Manager (QVM)、CVEスコア相関関係、脆弱性スキャン統合、Qualys/Nessus統合、リスクベースの脆弱性優先順位付け、IBM QRadar Risk Manager (QRM)、リスクスコア算出、資産重要度評価、リスク駆動修正、リスクダッシュボード設定、脆弱性トレンド分析、エンタープライズ脆弱性管理、エンタープライズリスク評価と管理
モジュール6:QRadar SOAR、自動化、およびインシデント対応
IBM QRadar SOAR(セキュリティオーケストレーション、自動化、応答)、プレイブックオーケストレーション、ランブック自動化、および現代のSOC運用に不可欠なインシデント対応自動化をカバーします。
6.1 IBM QRadar SOAR概要
- セキュリティオーケストレーションと自動応答:定義と価値
- QRadar SOアーキテクチャおよびコンポーネント:プレイブック、インシデント、自動化アクション、データアクション
- QRadar SOAR統合:SIEM、EDR、脅威インテリジェンス、チケットシステム(ServiceNow、Jira)の接続
- 従来の自動化との比較:プレイブック駆動型ワークフローオーケストレーション
6.2 プレイブック設計と実行
- プレイブック作成:自動調査および対応ワークフローの構築
- プレイブックトリガー:フェンス作成、ルールトリガー、手動有効化
- プレイブックアクション:IPアドレスの強化、IPブロック、チケット作成、脅威フィードクエリ
- プレイブック条件および分岐ロジック
6.3 インシデント対応自動化
- 自動インシデント対応:アラートから数分以内の封じ込めまで
- 自動脅威ハンティング:プレイブック駆動型脅威調査
- 自動インシデント封じ込め:IPブロック、エンドポイント分離、アカウント一時停止
- ランサムウェア、フィッシング、ブルートフォース攻撃、内部者脅威に対する自動インシデント対応ワークフロー
6.4 外部システムとの統合
- ServiceNow、Jira、Slack、メール、WebhookベースのシステムとのQRadar SOAR統合
- 脅威インテリジェンスプラットフォームとのカスタムAPI統合
- 自動エンドポイントアクションのためのEDR統合
- ペイロード分析(ファイル、URL、ドメイン)の自動化
市場に適合するコンピテンシー: セキュリティオーケストレーション、AI自動化と応答(SOAR)、IBM QRadar SOAR、プレイブック自動化、ランブック設計、自動インシデント対応ワークフローのオーケストレーション、API駆動セキュリティ自動化、脅威インテリジェンス統合、インシデント封じ込め自動化、自動脅威分析、セキュリティ用ServiceNow統合、チケットシステム自動化、エンドポイント応答自動化、自動IPブラックリスト化、フィッシング応答自動化、ランサムウェア応答自動化
モジュール7:QRadarフォレンジック、ネットワークフォレンジック、およびデータ分析
QRadar Incident Forensics (QRIF) および forensic調査機能、パケットキャプチャ分析のためのネットワークフォレンジック(NFI)、およびインシデント調査で使われるforensic分析手法をカバーします。
7.1 IBM QRadar Forensics (QRIF)
- QRIF:調査のためのforensicデータ収集と保存
- Forensicデータソース:パケットキャプチャ、イベントログ、エンドポイントフォレンジック
- Forensic分析:タイムライン再構成、ファイル分析、ネットワークforensic分析
- Forensic証拠の保全と証跡管理
- QRIF内のForensic分析ツールおよび手法
7.2 ネットワークフォレンジックおよび検査(NFI)
- ネットワークフォレンジック:パケットキャプチャ分析およびネットワークトラフィック検査
- フローデータ分析:QRadar Network ForensicsにおけるNetFlow、sFlow、IPFIX
- プロトコル分析:HTTP、DNS、SMTP、SSH、FTP、カスタムプロトコル検査
- ネットワークフォレンジックによる脅威検出:C2ビーコン化、データ盗み出し、横断的移動検出
- 不審なトラフィックパターンの特定
7.3 ユーザーおよびエンティティ行動分析(UEBA)
- UEBA:ユーザーの行動ベースラインの理解と異常検出
- UEBAデータソース:Active Directory、プロキシログ、エンドポイントログ、DLPログ、認証ログ、クラウドログ
- UEBAスコアリング:ユーザーリスクスコアおよびエンティティリスクスコア
- UEBA駆動型脅威検出:侵害されたアカウント、内部者脅威、データ盗み出し
市場に適合するコンピテンシー: QRadar Incident Forensics (QRIF)、Forensicデータ収集、Forensic調査と分析、ネットワークフォレンジック、パケットキャプチャ分析、フローデータ分析、ネットワークフォレンジックによる脅威検出、ユーザーおよびエンティティ行動分析(UEBA)、ユーザー異常検出、内部者脅威検出、侵害されたアカウント検出、ユーザー行動を通じたデータ盗み出し、C2ビーコン化検出、ネットワークフォレンジックによる横断的移動検出、デジタルフォレンジックおよびインシデント対応(DFIR)、証拠保全と証跡管理、プロトコル分析、セキュリティログForensic、ネットワーク分析による脅威ハンティング
モジュール8:クラウドSIEM、SIEM-as-Code、コンプライアンス、およびSIEM運用
IBM QRadarの運用、スケーリング、コンプライアンスレポート、クラウドSIAM統合、detection-as-code実践、およびエンタープライズスケールのSIAM展開に不可欠なSOCガバナンスを評価します。
8.1 QRadarの運用と管理
- QRadminの管理:ユーザーロール、権限、セキュリティポリシー
- QRadarの設定およびアクセスログの監査
- 管理者およびコンプライアンス用のスケジュールレポートおよびカスタムレポート設計
- スケジューリングタスク:バックアップ/リストア、データベースクリーンアップ、メンテナンス
- SIAMログ転送用のSyslogサーバー設定
- QRadarアプライアンスのソフトウェアアップデートおよびパッチ管理
8.2 コンプライアンスレポートと規制マッピング
- PCI DSS SIAM要件およびQRadarコンプライアンスレポート
- HIPAA、GDPR、SOX、NIST CSF、ISO 27001のコンプライアンスマッピングとQRadarレポート
- 規制監査レポート:PCI DSSおよびHIPAA監査員用カスタムレポートテンプレート
- リアルタイムコンプライアンスモニタリングおよび継続的コンプライアンスダッシュボード
8.3 SIAM-as-CodeおよびInfrastructure as Code
- バージョン管理されたSIAMルール管理:Gitベースのルールデプロイメント
- QRadarアプライアンスのプロビジョニングおよび設定のためのTerraformおよびAnsible
- SIAMルールおよびプレイブック用のCI/CDパイプライン
- ルール展開と管理のためのQRadar API駆動自動化
8.4 クラウドSIAMとハイブリッドクラウドセキュリティ
- クラウドログソース統合:AWS CloudTrail、Microsoft Sentinel、GCP監査ログ、Azure Monitor
- クラウドネイティブSIAM戦略:SaaS環境(AWS、Azure、GCP、Office 365、AWS)向けのSIAM
- microsoft Sentinel、Azure Sentinel、AWS CloudWatch Logs、Google Cloud Logging SIAM統合
- クラウドアイデンティティおよびアクセス監視:IAM、Active Directory、Entra ID
- クラウドワークロード保護とSIAM統合
8.5 アイデンティティ脅威検出
- 新しい脅威の境界としてのアイデンティティ:アカウント侵害検出
- Active Directory脅威検出:Kerberoasting、AS-REP roasting、Golden/Sidチケット攻撃
- マルチファクタ認証(MFA)バイパス検出
- 特権アイデンティティ管理(PIM)監視
8.6 ゼロトラストモニタリング
- ゼロトラストアーキテクチャモニタリング:アイデンティティ、デバイス、ネットワークコントロール
- マイクロセグメンテーションモニタリングとポリシー適用検証
- SIAM統合を通じたゼロトラストコンプライアンスレポート
8.7 SOC運用およびSIAMガバナンス
- SOCメトリクスおよびKPI:MTTR(平均対応時間)、SIAMモニタリングのためのMTTD
- SOC成熟度評価およびSIAM駆動型SOC改善
- SIAMガバナンス:ルール管理、偽陽性追跡、継続的改善
- SIAM運用のベストプラクティス:モニタリング、アラート、エスカレーション手順
市場に適合するコンピテンシー: QRadmin管理、SIAM運用と管理、SIAMコンプライアンス管理、PCI D SIAMコンプライアンスレポート、HIPAAおよびGDPR SIAMコンプライアンス、SOXおよびISO 27001 SIAMコンプライアンス、NIST CSF SIAMマッピング、継続的コンプライアンスモニタリング、カスタムコンプライアンスレポート、SIAM-as-CodeおよびInfrastructure as Code、SIAM用Terraform、SIAM展開用Ansible、SIAMルール用CI/CD、QRadar API自動化、クラウドSIAM統合、AWS CloudTrail SIAM、Microsoft Sentinel統合、GCP Cloud Logging SIAM、Azure Monitor SIAM、Office 365 SIAM統合、クラウドネイティブSIAM、ゼロトラストモニタリング、IAM脅威検出、アイデンティティ脅威検出、Active Directory脅威検出、Kerberos攻撃検出、特権アイデンティティ監視、マルチファクタ認証(MFA)セキュリティ、SOC KPIおよびメトリクス管理、SOC成熟度評価、SIAM運用のベストプラクティス、インシデント対応ガバナンス、SIAMルールライフサイクル管理、エンタープライズSIAMガバナンス
モジュール9:総括プロジェクトと現実世界の脅威シナリオ
IBM QRadを使用して、脅威検出、調査、インシデント対応を含むエンタープライズセキュリティシナリオをシミュレートする包括的なハンズオン総括。
9.1 総括プロジェクト:エンタープライズセキュリティシナリオ
- 現実的なログソースと攻撃シナリオを含む模擬エンタープライズ環境のセットアップ
- ログソースの展開およびログ収集ポリシーの設定
- MITRE ATT&CKにマッピングされた検出ルールの構築
- QRadarでの現実世界のフェスデータの調査およびForensic分析の実行
- 自動対応のためのSOARプレイブックの設計とデプロイメント
- PCI DSS、HIPAA、GDPR用のコンプライアンスレポートの生成
- キャパシティプランニングの実行とSIAM展開のスケーリング
9.2 現実世界の脅威シナリオ
- 模擬攻撃:ランサムウェア展開、内部者脅威、横断的移動、ブルートフォース攻撃、サプライチェーン攻撃、フィッシング
- ランサムウェアの検出:横断的移動、データステージング、横断的移動検出
- 内部者脅威:データ盗み出し試行と異常検出
- サプライチェーン攻撃の検出:侵害されたベンダーアクセスの検出
- フィッシング対応:自動化されたURLブロックおよびメール調査ワークフロー
- ゼロデイ脅威ハンティング:ルールレスハンティング手法を使用した未知の脅威検出
- UEBAおよびForensic分析を使用した高度継続的脅威(APT)検出
市場に適合するコンピテンシー: 総括セキュリティプロジェクトの提供、エンタープライズSIAMシミュレーション、現実世界の脅威シナリオ設計、MITRE ATT&CK検出ルールデプロイメント、SOCインシデント調査、QRadar SOARプレイブック設計、ランサムウェア対応シミュレーション、内部者脅威検出、フィッシング応答自動化、サプライチェーン攻撃検出、ゼロデイ脅威ハンティング、高度継続的脅威(APT)検出、SIAMキャパシティプランニングおよびスケーリング、マルチコンプライアンスレポート(PCI DSS、HIPAA、GDPR)、エンタープライズ脅威対応、Forensic脅威調査、脅威インテリジェンス強化、自動インシデント封じ込め、SOC運用シミュレーション、フルスケールSIAMエンジニアリング実習
要求
- ITセキュリティに関する基礎知識
対象者
- セキュリティエンジニア
