tcpdump は、特定のインターフェイスまたはファイルからネットワーク パケットをキャプチャして分析できるコマンド ライン ツールです。-n オプションを使用すると、tcpdump によるホスト名解決が防止され、分析が高速化されます。-r オプションは、ファイル (この場合は packets.pcap) からパケットを読み取ります。ホスト [IP アドレス] フィルターは、tcpdump が送信元または宛先として指定された IP アドレスを持つパケットのみを表示するように指定します。このコマンドは、セキュリティ アナリストがゲートウェイからパケット キャプチャを収集することで、不審な IP アドレスへの接続を検出するのに役立ちます。公式リファレンス:
https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
https://www.techtarget.com/searchsecurity/quiz/Sample-CompTIA-CySA-test-questions-with-answers
https://www.reddit.com/r/CompTIA/comments/tmxx84/passed_cysa_heres_my_ experience_and_how_i_studied/

脆弱性のエクスプロイト コードの成熟度は、CVSS 時間スコアの E メトリックによって示されます。U の値は、利用可能なエクスプロイト コードがない、または不明であることを意味します1。他のオプションはエクスプロイト コードの成熟度には関係しませんが、攻撃ベクトル、範囲、可用性、複雑さなどの脆弱性の他の側面に関係します1。

SLA はサービス レベル アグリーメントの略で、サービスの品質、可用性、パフォーマンス、または範囲に関するサービス プロバイダーと顧客の間の期待と義務を定義する契約または文書です。SLA では、合意されたサービス レベルの遵守を測定または保証するための指標、ペナルティ、または救済策を指定することもできます。SLA は、SOC マネージャーが、チームが応答時間、解決時間、報告頻度、通信チャネルなど、顧客に対する適切な契約上の義務を満たしているかどうかを確認するのに役立ちます。

Scanner Appliance はスキャンされたシステムの Windows レジストリにアクセスできないため、この構成で実行されたスキャンではレジストリ キーの値が欠落します。Windows レジストリは、オペレーティング システムおよびインストールされているアプリケーションの構成設定とオプションを保存するデータベースです。レジストリをスキャンするには、スキャナーがシステムにログインしてローカル エージェントまたはスクリプトを実行するための資格情報を持っている必要があります。
他の項目は認証情報がなくても Scanner Appliance によって検出できるため、スキャンで欠落することはありません。オペレーティング システムのバージョンは、サービス バナーまたはフィンガープリント手法を分析することで特定できます。開いているポートは、ポート スキャンを実行するか、共通ポートにプローブを送信することによって検出できます。IP アドレスは、ホスト名を解決するか、ネットワーク検出ツールを使用して取得できます。
https:// Attack.mitre.org/techniques/T1112/

説明
コンピュータ システムで最初に収集する必要がある最も不安定な種類の証拠は、実行中のプロセスです。
実行プロセスとは、コンピューター システム上で現在実行されており、メモリ、CPU、ディスク容量、ネットワーク帯域幅などのリソースを使用しているプログラムまたはアプリケーションです。実行中のプロセスは、システムのシャットダウン、再起動、ログオフ、またはクラッシュによって急速に変化したり、完全に消えたりする可能性があるため、非常に不安定です。実行中のプロセスは、プロセスを変更または終了する可能性のある他のプロセスまたはユーザーの影響を受ける可能性もあります。したがって、コンピュータ システム内の他の種類の証拠よりも先に、実行中のプロセスを収集する必要があります。