# CODE BLUE 2026 Training Description ## Title - EN: "DEaTH by Windows: Detection Engineering and Threat Hunting with Yamato Security Tools and AI" - JP: 「大和セキュリティ流 Windows DEaTH(検知エンジニアリング&脅威ハンティング)トレーニング」 --- ## English Description ### Overview This 3-day hands-on training teaches you how to investigate Windows compromises using free and open-source tools — and how to supercharge that analysis with generative AI. It is a major upgrade of the 2-day training held at CODE BLUE last year, expanded with new sections on evidence acquisition, popular Windows forensic artifacts (Master Boot Record, Prefetch, Shimcache, and more), using AI to create Sigma detection rules, and automatically analyzing Hayabusa results with AI. ### Format: Hybrid & Self-Paced ("Choose Your Own Adventure") The training is offered **both in person and online**. The core material is delivered through pre-recorded lecture videos that you watch at your own pace (please bring headphones). We adopted this format because students' skill levels vary widely — this way, experienced analysts can skip ahead or jump straight into the hands-on CTF, while those who prefer a structured approach can work through the lectures first. You choose your own path. - **Day 1:** Individual self-paced study and hands-on exercises - **Day 2:** Form teams and dive deeper into the CTF and forensic case analysis - **Day 3:** Team presentations on the forensic cases you analyzed **Why attend in person?** We recommend in-person attendance if you think you may need troubleshooting help or want to ask lots of questions. In-person attendees also get to work in teams for the CTF and final presentation, and an **award will be given to the best team presenting in person**. ### Language The training materials, lecture videos, and the lecture introduction are all provided in **both Japanese and English**. However, please note that the real-time (live) portions of the training will be conducted **mostly in Japanese**, unless there are enough English-only speakers in attendance. If there are not enough English-only speakers to form a team, English-only attendees will work through the CTF analysis individually. (Presenting is optional.) ### What's Included - Training material PDFs and lecture videos in **both Japanese and English** - Lecture videos are **downloadable and yours to keep forever** — watch them in any order, anytime, even after the course ends - A **CODE BLUE conference ticket is included** in the training price — even for online attendees ### Returning Students If you attended last year's training, you can attend this year's full 3-day training **online for ¥100,000** and get access to all new and updated material. (The CODE BLUE conference ticket is not included in this discounted option.) ### Instructor **Zach Mathis** — Project leader of Yamato Security. Zach has been doing information security for over 30 years and leads the Yamato Security organization, which has been releasing free and open-source forensics tools together with its members since 2020. These tools are used daily around the world for incident response and digital forensics. ### Topics Covered **Foundations: Windows Event Log Analysis** - Why Windows event log analysis is a core DFIR skill - Event log internals: .evt vs. .evtx, binary XML format, `` / `` / `` structure, rendered messages and their pitfalls - Security log event categories and how to read raw event data **Audit Policy & Log Configuration (Preparation Before an Incident)** - Problems with Windows default log settings and how to fix them - Walkthrough of all Security audit subcategories (Account Logon, Account Management, Detailed Tracking, DS Access, Logon/Logoff, Object Access, Policy Change, Privilege Use, System, Global Object Access) - Microsoft and ACSC (Australian Cyber Security Centre) audit recommendations - Log size tuning for clients and servers - PowerShell logging: module logs, script block logs, transcription logs, suspicious keyword detection - Other valuable logs: DNS Client, DHCP, NTLM, PrintService, TaskScheduler, WMI - WELA (Windows Event Log Auditor): checking and configuring audit settings, MITRE ATT&CK visualization **Sysmon** - Installation, configuration files, distribution, and maintenance - Detailed walkthrough of Sysmon event IDs 1–29 (process creation, network connections, process injection, pipe events, WMI events, DNS queries, file deletion, process tampering, and more) **Evidence Acquisition** - Log forwarding to SIEMs and what to monitor - Event log file internals, record IDs, and export pitfalls (timestamp skew) - Fast triage collection with KAPE and Triage Collector - 🆕 Obtaining evidence: expanded acquisition section **🆕 Windows Forensic Artifacts (New for 2026)** - Master Boot Record (MBR) - Prefetch - Shimcache (AppCompatCache) - And other popular Windows artifacts **Yamato Security Tools** - Hayabusa: fast forensics timeline generation and threat hunting — commands, computer/log/EID metrics, logon summaries, Base64 extraction, log aggregation, detection frequency timelines, HTML summary reports, data reduction, field normalization, log enrichment, live response, enterprise-wide hunting with Velociraptor - Takajo: analyzing Hayabusa results — stack, extract, timeline, and metrics commands - Timeline Explorer, jq, and the "Spreadsheet of Doom" investigation workflow **Deep-Dive: Critical Logs** - Domain vs. local account logons - NTLM authentication: protocol flow, NEGOTIATE/CHALLENGE/AUTH, event 4776, error codes - Kerberos authentication: TGT/service ticket flow, events 4768/4769/4770/4771, encryption types, pre-authentication, monitoring points - Logon events in depth: 4624 logon types, access tokens, impersonation levels, ANONYMOUS LOGON, 4625 failure codes, 4648 explicit credentials, 4672 special privileges - RDP artifacts on source and destination hosts - Account management, file share access, scheduled tasks, services, firewall, application logs, WMI - AppLocker, Windows Defender Anti-Virus, and Windows Defender Exploit Guard logs **Sigma Rule Creation** - The Sigma project, rule format, and rule conversion - Log sources, detection logic, field modifiers, metadata, and rule levels - Correlation rules: event count, value count, temporal proximity, ordered temporal proximity, value sum/average - Contributing rules upstream to the community - 🆕 Using generative AI to create Sigma rules **Detecting Common Active Directory Attacks** - Password guessing, password spraying, credential stuffing - NTLM abuse: NTLMv1 downgrade attacks, Pass-the-Hash, NTLM relay, LLMNR/NBT-NS/mDNS poisoning - Kerberos abuse: Kerberoasting, AS-REP Roasting, Over-Pass-the-Hash, Pass-the-Key, Pass-the-Ticket, Golden Ticket, Silver Ticket - Delegation abuse: unconstrained, constrained (S4U2Proxy / Protocol Transition), and resource-based constrained delegation - Forced authentication and DCSync - Credentials in memory, the double-hop problem, CredSSP risks **Anti-Forensics Techniques and Countermeasures** - Log clearing and telemetry evasion - Event Log service tampering (service disabling, Sshmon, Phant0m, Mimikatz, and more) - Individual event record tampering - PowerShell module log anti-forensics **Scaling Up & AI** - Big data analysis: Timesketch and SOF-ELK - Analyzing logs with generative AI - 🆕 Automatically analyzing Hayabusa results with AI **CTF & Final Presentations** - Hands-on CTF based on realistic compromise scenarios (continues after the course — online CTF access plus full question and answer sets for review) - Team-based forensic case analysis and final presentations, with an award for the best in-person team --- ## Japanese Description (日本語) ### 概要 本トレーニングは、フリーかつオープンソースのツールを駆使してWindows侵害調査を行う方法を、3日間のハンズオン形式で徹底的に学ぶコースです。さらに、生成AIを活用して解析を高速化・自動化する最新手法も扱います。昨年CODE BLUEで実施した2日間トレーニングを大幅にアップグレードし、証拠保全(エビデンス取得)、Master Boot Record・Prefetch・Shimcacheなどの主要なWindowsフォレンジックアーティファクト、生成AIによるSigmaルール作成、AIによるHayabusa解析結果の自動分析といった新セクションを追加しました。 ### 形式:ハイブリッド開催&自分のペースで進める「Choose Your Own Adventure」型 本トレーニングは**現地参加・オンライン参加のどちらでも受講可能**です。講義は事前収録ビデオを各自のペースで視聴する形式で進めます(**ヘッドホンをご持参ください**)。この形式を採用した理由は、受講者のレベルが大きく異なるためです。経験者は既知のセクションをスキップしてすぐCTF(ハンズオン演習)に挑戦でき、じっくり学びたい方は講義から順番に進められます。進め方はあなた次第です。 - **1日目:** 各自のペースで講義視聴とハンズオン演習 - **2日目:** チームを結成し、CTFとフォレンジックケース解析を本格化 - **3日目:** 解析したフォレンジックケースについてチームごとに発表 **現地参加をおすすめする方:** トラブルシューティングのサポートが必要になりそうな方や、講師にたくさん質問したい方には現地参加をおすすめします。また、現地参加者はCTFと最終発表をチームで取り組むことができ、**現地で発表した最優秀チームには賞を授与します**。 ### 言語について トレーニング資料、講義ビデオ、および講義のイントロダクションは**日本語・英語の両方**で提供されます。ただし、リアルタイム(ライブ)で実施する部分は、英語のみ話す受講者が一定数いない限り、**主に日本語**で行われますのでご了承ください。英語のみ話す受講者がチームを組めるほど集まらなかった場合は、CTF解析は個人で取り組んでいただきます。(発表は任意です。) ### 受講に含まれるもの - トレーニング資料(PDF)および講義ビデオは**日本語・英語の両方**で提供 - 講義ビデオは**ダウンロード可能で、コース終了後も無期限で視聴可能**(好きな順番で何度でも復習できます) - **CODE BLUEカンファレンスチケット込み**(オンライン受講の方も含まれます) ### 昨年の受講者向け特別価格 昨年のトレーニングを受講された方は、今年の3日間トレーニングを**オンライン受講10万円**でご参加いただけます。新規・更新されたすべての教材にアクセスできます。(※この特別価格にはCODE BLUEカンファレンスチケットは含まれません) ### 講師 **Zach Mathis(マシス・ザック)** — Yamato Securityプロジェクトリーダー。30年以上にわたり情報セキュリティに携わり、2020年からメンバーとともにフリー&オープンソースのフォレンジックツールを公開してきた大和セキュリティを率いる。これらのツールは世界中でインシデント対応やデジタルフォレンジックの現場で日々活用されている。 ### カバーするトピック **基礎:Windowsイベントログ解析** - WindowsイベントログがDFIRの中核スキルである理由 - イベントログの内部構造:.evt と .evtx、バイナリXMLフォーマット、`` / `` / `` の構成、レンダリングメッセージとその落とし穴 - セキュリティログのイベントカテゴリと生データの読み方 **監査ポリシーとログ設定(インシデント前の事前準備)** - Windowsデフォルトログ設定の問題点と改善方法 - Security監査サブカテゴリの全解説(アカウントログオン、アカウント管理、詳細トラッキング、DSアクセス、ログオン/ログオフ、オブジェクトアクセス、ポリシー変更、特権の使用、システム、グローバルオブジェクトアクセス) - MicrosoftおよびACSC(オーストラリアサイバーセキュリティセンター)の監査設定推奨 - クライアント/サーバのログサイズチューニング - PowerShellログ:モジュールログ、スクリプトブロックログ、トランスクリプションログ、不審キーワード検知 - その他の有用なログ:DNS Client、DHCP、NTLM、PrintService、TaskScheduler、WMI - WELA(Windows Event Log Auditor):監査設定の確認と適用、MITRE ATT&CKの可視化 **Sysmon** - インストール、設定ファイル、配布、メンテナンス - SysmonイベントID 1〜29の詳細解説(プロセス作成、ネットワーク通信、プロセスインジェクション、パイプイベント、WMIイベント、DNSクエリ、ファイル削除、プロセス改ざん等) **証拠保全(エビデンス取得)** - SIEMへのログ転送と監視すべきログ - イベントログファイルの内部構造、レコードID、エクスポート時の落とし穴(タイムスタンプのずれ) - KAPEとTriage Collectorによる高速トリアージ収集 - 🆕 エビデンス取得:拡充された証拠保全セクション **🆕 Windowsフォレンジックアーティファクト(2026年新設)** - Master Boot Record(MBR) - Prefetch - Shimcache(AppCompatCache) - その他の主要なWindowsアーティファクト **大和セキュリティツール** - Hayabusa:高速フォレンジックタイムライン生成と脅威ハンティング — 各種コマンド、コンピュータ/ログ/EIDメトリクス、ログオンサマリ、Base64抽出、ログ集約、検知頻度タイムライン、HTMLサマリレポート、データ削減、フィールド名の正規化、ログエンリッチメント、Live Response、Velociraptorによる全社規模の脅威ハンティング - Takajo:Hayabusa解析結果の分析 — stack、extract、timeline、metricsコマンド - Timeline Explorer、jq、「Spreadsheet of Doom」を使った調査ワークフロー **重要ログの深掘り** - ドメインアカウント vs. ローカルアカウントのログオン - NTLM認証:プロトコルの流れ、NEGOTIATE/CHALLENGE/AUTH、イベント4776、エラーコード - Kerberos認証:TGT/サービスチケットの流れ、イベント4768/4769/4770/4771、暗号方式、事前認証、監視ポイント - ログオンイベントの徹底解説:4624のログオンタイプ、アクセストークン、偽装レベル、ANONYMOUS LOGON、4625のエラーコード、4648(明示的な資格情報)、4672(特別な特権) - RDP:送信元・送信先それぞれの端末に残るアーティファクト - アカウント管理、ファイル共有アクセス、スケジュールされたタスク、サービス、ファイアウォール、アプリケーションログ、WMI - AppLocker、Windows Defender Anti-Virus、Windows Defender Exploit Guardのログ **Sigmaルール作成** - Sigmaプロジェクト、ルールフォーマット、ルール変換 - ログソース、検知ロジック、フィールド修飾子、メタデータ、ルールレベル - 相関ルール:Event Count、Value Count、Temporal Proximity、Ordered Temporal Proximity、Value Sum/Average - コミュニティへのルール貢献 - 🆕 生成AIによるSigmaルール作成 **よくあるActive Directory攻撃の検知** - パスワード推測、パスワードスプレー、Credential Stuffing - NTLMの悪用:NTLMv1ダウングレード攻撃、Pass-the-Hash、NTLMリレー、LLMNR/NBT-NS/mDNSポイズニング - Kerberosの悪用:Kerberoasting、AS-REP Roasting、Over-Pass-the-Hash、Pass-the-Key、Pass-the-Ticket、Golden Ticket、Silver Ticket - 委任の悪用:制約のない委任、制約付き委任(S4U2Proxy/Protocol Transition)、リソースベースの制約付き委任 - 強制認証とDCSync - メモリ上の資格情報、ダブルホップ問題、CredSSPのリスク **Anti-Forensics手法とその対策** - ログクリアとTelemetry回避 - Event Logサービスへの妨害(サービス無効化、Sshmon、Phant0m、Mimikatz等) - イベントレコードの個別改ざん - PowerShellモジュールログのAnti-Forensics **スケールアップとAI活用** - ビッグデータ解析:TimesketchとSOF-ELK - 生成AIによるログ分析 - 🆕 AIによるHayabusa解析結果の自動分析 **CTF&最終発表** - 実際の侵害シナリオに基づくハンズオンCTF(コース終了後もオンラインCTFへのアクセスと問題集・解答集を提供、いつでも復習可能) - チームでのフォレンジックケース解析と最終発表(現地発表の最優秀チームには賞を授与)