ログ エントリ "....\boot.ini" は、攻撃者が Web ルート フォルダーの外部に保存されているファイルやディレクトリにアクセスしようとする、ディレクトリ トラバーサル攻撃を示しています。
ログ スニペット「....\boot.ini」は、ディレクトリ トラバーサル攻撃を示しています。このタイプの攻撃は、Web ルート フォルダーの外部に保存されているファイルやディレクトリへのアクセスを目的としています。攻撃者は、「../」（ドット、ドット、スラッシュ）でファイルを参照する変数を操作することで、ファイル システムに保存されている任意のファイルやディレクトリにアクセスできる可能性があります。

これは、管理者権限なしでスキャンすると、脆弱性スキャンの範囲と精度が制限され、検出に高い権限が必要な一部の重大な脆弱性を見逃してしまう可能性があるためです。OWASP 脆弱性管理ガイド 1 によると、「管理者権限なしでスキャンすると、多数の偽陰性が発生し、スキャンが不完全になります」。したがって、アナリストは、潜在的な脆弱性を確実に特定するために、この問題に対処することを推奨する必要があります。

インシデント対応計画では、組織のセキュリティと運用を危険にさらす可能性のある最も重要かつ可能性の高いシナリオをカバーする必要があります。さまざまなベスト プラクティスの情報源 123 によれば、インシデント対応計画は、リスク評価を実施して潜在的な脅威と脆弱性を特定し、インシデント発生時に保護および復元する必要がある重要なシステムに優先順位を付けることから始める必要があります。重要なシステムに影響を与えるインシデントに焦点を当てることで、インシデント対応計画は、組織の使命、評判、または法的義務を損なう可能性のある最も深刻で影響力のある状況を確実にカバーします。

この脅威が検出されたのは、電子メールが送信された午前 8 時 30 分から、受信者が電子メールについて組織のヘルプ デスクに警告を開始した午前 8 時 45 分までで、合計 15 分かかりました。検出時間は、インシデントの発生からセキュリティ チームによる発見までに経過した時間です。指定された情報に基づくと、他のオプションは短すぎるか長すぎます。参考資料: : 検出時間 : インシデント対応指標: 平均検出時間と平均対応時間

説明
DNS 抽出は、DNS プロトコルを使用して、侵害されたネットワークまたはデバイスから攻撃者が制御するサーバーにデータを転送する手法です。DNS の漏洩は、DNS トラフィックを検査しないファイアウォール ルールやセキュリティ製品をバイパスする可能性があります。質問にある不審な DNS トラフィックの特徴は、次のような DNS 漏洩の指標と一致します。
トンネリング セッションがアクティブな間の DNS トラフィック: これは、DNS プロトコルがデータ転送用の秘密チャネルの作成に使用されていることを意味します。
クエリ間の平均時間は 1 秒未満です。これは、転送されるデータ量を最大化するために、DNS クエリが高頻度で送信されていることを意味します。
クエリの平均長が 100 文字を超えています。これは、DNS クエリが DNS パケットのサブドメインまたは他のフィールドに大量のデータをエンコードしていることを意味します。
公式参考文献:
https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
https://resources.infosecinstitute.com/topic/bypassing-security-products-via-dns-data-exfiltration/
https://www.reddit.com/r/CompTIA/comments/nvjuzt/dns_exfiltration_explanation/