SIEM イベントは、悪意のあるアクティビティに関連付けられた IP アドレスである 40.90.23.154 への送信接続を使用して、powershell.exe が複数のエンドポイントで実行されたことを示しています。これは、マルウェア感染またはコマンド アンド コントロール チャネルを示している可能性があります。最善の対応策は、40.90.23.154 をブロックするようにフォワード プロキシを構成することです。これにより、悪意のある IP アドレスとのさらなる通信が防止されます。すべてのエンドポイントで powershell.exe を無効にすることは、正当な操作に影響を与え、マルウェアを削除できない可能性があるため、現実的または効果的ではない可能性があります。Microsoft Windows Defender を再起動しても、マルウェアがバイパスまたは無効化されている可能性があるため、マルウェアを検出または停止できない可能性があります。エンドポイントのローカル管理者権限を無効にしても、マルウェアが権限を昇格したり、他の方法を使用したりする可能性があるため、マルウェアの実行や通信を防止できない可能性があります。検証済みリファレンス: https://www.comptia.org/blog/what-is-a-forward-proxy https://partners.comptia.org/docs/default-source/resources/casp-content-guide

コンテナ化は、コンテナと呼ばれる分離されたポータブルな環境でアプリケーションを実行できるようにするテクノロジーです。コンテナーは、アプリケーションの実行に必要なすべての依存関係、ライブラリ、構成ファイルを含む軽量の自己完結型ユニットです。コンテナーは、Docker や Kubernetes など、コンテナー ランタイム エンジンをサポートする任意のプラットフォームにデプロイできます。
コンテナ化により、企業はモノリシック アプリケーションをリファクタリングして、クラウド ネイティブ サービスとサービスのマイクロセグメンテーションを利用して機密性の高いアプリケーション コンポーネントを保護できるようになります。
アプリケーションを、API またはメッセージ キューを通じて相互に通信できる、より小さな独立したコンポーネント (マイクロサービス) に分割できるようにします。
構成ファイルや環境変数を通じてコン​​テナと統合できるロード バランサ、データベース、サーバーレス機能などのクラウド ネイティブ サービスをアプリケーションが利用できるようにします。
各コンテナを他のコンテナやホスト システムから分離し、きめ細かいアクセス コントロール ポリシーとネットワーク ルールを各コンテナまたはコンテナ グループに適用することで、アプリケーションのセキュリティを強化します。
アプリケーションのコードや構成を変更することなく、コンテナをサポートするクラウド プロバイダーまたはプラットフォーム上でアプリケーションを実行できるようにすることで、アプリケーションの移植性を確保します。

説明
クラウド アーキテクチャ チームは、自動スケーリング (C)、WAF (D)、および暗号化 (F) を実装する必要があります。自動スケーリング (C) により、アプリケーションは常に 70% の容量で実行されます。WAF (D) は、アプリケーションを DoS および DDoS 攻撃から保護します。暗号化 (F) は、データを不正アクセスから保護し、機密性の高いワークロードの安全性を確保します。