# SECCAMP2023 Z7 ## ゼミ名 EDR強化ゼミ - Adversary Emulationを通じて学ぶ、Detection Engineering - ## 概要 EDR（Endpoint Detection and Response）は、エンドポイント上の脅威を検知し、迅速に対応するための機能を提供するセキュリティソリューションです。 エンドポイントで生成されるテレメトリ（プロセスの作成などの様々なアクティビティ）は膨大なため、脅威を効果的に検知するためには検知ロジックの作りこみが必要不可欠です。また、脅威の可視性を高めたり、被害を最小限に食い止めるために、検知された脅威に対してリアルタイムに対応することも重要です。 本ゼミでは、EDRの仕組みを解説したうえで、「Wazuh」をはじめとするOSS（オープンソースソフトウェア）を活用し、検知ルール、および、自動レスポンスルールの開発をセキュリティ演習を通じておこないます。 演習では、Red Team（攻撃側）役の講師がOSSのEDRが導入された環境に対して攻撃を実施し、受講生にはBlue Team（防御側）役として、EDRが収集したテレメトリから攻撃の全体像を明らかにしてもらいます。 その後、同攻撃に対抗するための検知ルールと自動レスポンスルールを開発してもらい、再度攻撃がおこなわれた際に正しく検知・対応できるかどうか確認します。 発展課題として、独自のテレメトリ収集機能を実装して、それを活用した検知ルールの開発にチャレンジしていただくことも可能です。 本演習は、実際に悪用されている攻撃手法を再現（Adversary Emulation）したシナリオのため、実践的なDetection Engineeringを学ぶことができます。 検知ルールの開発においては、マルウェア解析の経験が、自動レスポンスルールの開発においては、プログラミングの経験が活用できますが、これらの経験があまりない方でも講師による手厚い個別サポートがあるため、どのような技術的なバックグラウンドをお持ちの方でも参加可能です。 本ゼミを通じて脅威に対抗するための実践的なスキルを一緒に磨いていきましょう！ ## キーワード - EDR - Detection Engineering - Adversary Emulation - Blue Team