Adding the SHA-256 hash of a legitimate Microsoft-signed binary like svchost.exe to detection signatures would result in the indicator firing on the majority of Windows devices. Svchost.exe is a common and legitimate system process used by Windows, and using its hash as an indicator of compromise (IOC) would generate numerous false positives, as it would match the legitimate instances of svchost.exe running on all Windows systems.

ワンライナー スクリプトは、JavaScript を利用して PowerShell コマンドを実行し、外部ソースからスクリプトをダウンロードして実行します。これは、追加のスクリプトをダウンロードするためにカスタム マルウェアが使用されていることを示しています。参照:
CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 4 章: セキュリティ運用と監視、156 ページ。

この VM にはパブリック IP とオープン ポート 80 があり、パブリック IP と安全でないポート/プロトコルを禁止するという会社のセキュリティ要件に違反しています。また、VM はインターネットからの潜在的な攻撃にさらされます。まずこの VM を更新してプライベート IP を使用し、ポート 80 を閉じるか、HTTPS などの安全なプロトコルを使用する必要があります。
参考資料[CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版]、第 2 章: クラウドとハイブリッド環境、67 ページ。[パブリック IP アドレスとは何ですか?][ポート 80 とは何ですか?]

ジオブロッキングは、企業が取引していない国からの異常なネットワーク スキャン活動に対する最善の緩和策です。これにより、その国からの潜在的な攻撃やデータ侵害を防ぐことができます。ジオブロッキングとは、地理的な場所に基づいて Web サイトやサービスへのアクセスを制限する手法で、通常は特定の国や地域に関連付けられた IP アドレスをブロックします。ジオブロッキングは、全体的な攻撃対象領域を減らし、脆弱性を悪用したり情報を盗もうとする悪意のある行為者から保護するのに役立ちます。その他のオプションは、スキャン活動の可能性のあるすべてのソースをブロックできないか、問題の根本原因に対処できない可能性があるため、ジオブロッキングほど効果的ではありません。公式リファレンス:
https://www.blumira.com/geoblocking/
https://www.avg.com/en/signal/geo-blocking

Increasing training and awareness for all staff is the best way to address the issue of employees being enticed to assist attackers by visiting specific websites and running downloaded files when prompted by phone calls.
This issue is an example of social engineering, which is a technique that exploits human psychology and behavior to manipulate people into performing actions or divulging information that benefit the attackers.
Social engineering can take many forms, such as phishing, vishing, baiting, quid pro quo, or impersonation.
The best defense against social engineering is to educate and train the staff on how to recognize and avoid common social engineering tactics, such as:
* Verifying the identity and legitimacy of the caller or sender before following their instructions or clicking on any links or attachments
* Being wary of unsolicited or unexpected requests for information or action, especially if they involve urgency, pressure, or threats
* Reporting any suspicious or anomalous activity to the security team or the appropriate authority
* Following the organization's policies and procedures on security awareness and best practices Official References:
* https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
* https://www.comptia.org/certifications/cybersecurity-analyst
* https://www.comptia.org/blog/the-new-comptia-cybersecurity-analyst-your-questions-answered