デジタル フォレンジックとインシデント対応 (DFIR) は転換期を迎えています。 もはやサイバー犯罪を解決する法執行機関だけのものではなく、DFIR のツールと実践は、あらゆる組織のサイバーセキュリティに必要な要素となっています。
SANSはDFIRトレーニングのバイキングを用意しており、また、DFIR作業用の無料のLinuxディストリビューションを提供しています。 SIFT Workstation は、ファイル システム、レジストリ、メモリ、およびネットワーク調査に関連するフォレンジック アーティファクトを調査するための強力なツール群です。 また、仮想マシン (VM) としてバンドルされており、詳細なフォレンジック調査や応答調査を行うために必要なものがすべて含まれています。
SIFT は 2007 年に始まり、当時は SANS 教官が教室で使うための仮想マシン (VM) を開発していました。 初期のバージョンでは、オンラインでダウンロード可能でしたが、ハードコードされた静的なものだったため、更新があるたびにユーザーは新しいバージョンをダウンロードする必要がありました。 2014年には、SIFT Workstationはアプリケーションシリーズとしてダウンロードできるようになり、その後、Ubuntuをベースにした非常に堅牢なパッケージに更新されました。 また、システム上でUbuntuのサブシステムが稼働していれば、Windowsにもインストールできます。
2017年11月、SANSは、はるかに多くの機能を可能にし、はるかに安定し、パッケージマネージャなどの特定のツールで構成されたSIFT Workstationの新バージョンを発表しました。 今回のパッケージはローリングアップデートをサポートし、ブートストラップ実行ファイルと設定ツールではなく、Pythonベースの設定管理プラットフォームであるSALTを使用しています。
新バージョンでは、サードパーティの200以上のツールやプラグインと連携でき、新たに追加したメモリ分析機能により、SIFT Workstationは他のソースからのデータを利用することが可能です。 新しい自動化および設定機能により、ユーザーは SIFT をダウンロードし設定するために 1 つのコマンドを入力するだけでよくなります。 SIFT はスクリプト可能なので、ユーザーはコマンドを組み合わせて自動解析を作成し、調査ニーズに合わせてシステムをカスタマイズできます。
SIFT Workstation を今すぐダウンロードして、独自の DFIR イニシアチブに着手してください。 また、FOR508: また、SIFT を使用した実践的な学習、および侵害を検出し、影響を受けたシステムを特定し、損害を判断し、インシデントを抑制する方法などについては、FOR508: Advanced Incident Response and Threat Hunting コースをご覧ください。