リスク登録には通常、ID、名前、説明、情報の分類、責任者などの詳細が含まれます。特定されたリスクを追跡し、管理するために使用されます。ID、名前、説明、情報の分類、責任者などの詳細の記録は通常、リスク登録簿に行われます。この文書は、組織内のリスクを特定、評価、管理、監視するために使用されます。これは、インシデント対応や変更管理の文書化には直接関係しません。

これは、管理者権限なしでスキャンすると、脆弱性スキャンの範囲と精度が制限され、検出に高い権限が必要な一部の重大な脆弱性を見逃してしまう可能性があるためです。OWASP 脆弱性管理ガイド 1 によると、「管理者権限なしでスキャンすると、多数の偽陰性が発生し、スキャンが不完全になります」。したがって、アナリストは、潜在的な脆弱性を確実に特定するために、この問題に対処することを推奨する必要があります。

脆弱性 2 は影響指標が最も高く、具体的には攻撃ベクトル (AV) と攻撃複雑さ (AC) の値が最も高くなります。これは、脆弱性が悪用される可能性が高く、修復がより困難であることを意味します。
参考文献:
* CVSS v3.1 仕様文書、セクション 2.1.1 および 2.1.2
* CVSS v3 脆弱性スコアリング システム、セクション 3.1 および 3.2

セキュリティ アナリストは、ローカル ファイル インクルージョン (LFI) の脆弱性を検証しています。これは、GET リクエストの「/.../.../.../」によって示されます。これは、LFI に関連するディレクトリ トラバーサル試行の一般的な指標です。他のオプションはこの目的には関係ありません。SQL インジェクションには、データベース クエリへの悪意のある SQL ステートメントの挿入が含まれます。XSS には、Web ページへの悪意のあるスクリプトの挿入が含まれます。CSRF には、ユーザーをだまして Web アプリケーション上で望ましくないアクションを実行させることが含まれます。
参考文献: CompTIA CySA+ Study Guide: Exam CS0-003, 3rd Edition1 によると、試験の目的の 1 つは「適切なツールと方法を使用して、攻撃と脆弱性を管理し、優先順位を付け、対応する」ことです。この本の第 6 章では、Web アプリケーションのセキュリティをテストするために使用されるツールである Burp Suite の使用法と構文についても説明しています。具体的には、セキュリティ アナリストが次のことを行うことを可能にする、Repeater などの Burp Suite の各コンポーネントの意味と機能について説明しています。したがって、これは質問に対する答えを検証するための信頼できる情報源です。

平均封じ込め時間は、ネットワークに侵入するマルウェアの拡散を阻止するのにどれくらいの時間がかかるかを測定するため、サイバーセキュリティ チームのリーダーが毎週の役員ブリーフィングに含めるべき指標です。平均封じ込め時間とは、マルウェアなどのインシデントまたは脅威が検出されてから、その脅威を隔離して無力化するまでにかかる平均時間です。平均封じ込め時間は、インシデント対応プロセスの有効性と効率、およびインシデントまたは脅威の潜在的な影響と損害を評価するための重要な指標です。平均封じ込め時間が短いほど、対応がより迅速かつ成功していることを示し、インシデントや脅威のリスクとコストを削減できます。平均封じ込め時間は、平均検出時間や平均修復時間などの他の指標と比較して、インシデント対応プロセスのギャップや改善すべき領域を特定することもできます。