仮説とは、脅威ハンターが脅威評価のフレームワークを確立するためにテストできるステートメントです。仮説は状況認識と脅威インテリジェンス情報に基づいており、組織に影響を及ぼす可能性のある攻撃シナリオを説明します。仮説は、「ネットワーク内で横方向の移動の証拠はありますか?」や「サーバーからデータが流出した兆候はありますか?」など、明確で具体的な質問を提供することで、脅威ハンターの調査を導くのに役立ちます。

ヘッダー分析は、送信者、受信者、日付、件名、ルーティング情報などの電子メールのメタデータを調べる手法です。これにより、発信者の IP アドレスとドメイン名、およびなりすましやリダイレクトの試みを明らかにすることで、悪意のある電子メールの送信元を特定できます。参考資料:
CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 6 章、240 ページ; CompTIA CySA+ CS0-003 認定学習ガイド、第 6 章、249 ページ。

GPU 使用率が高いことは、暗号通貨のマイニングに伴う複雑な数学的問題を解決するために必要となる集中的な計算作業を反映しているため、暗号通貨マイニングが発生している可能性が最も高い指標です。暗号通貨マイニングとは、コンピューティング パワーを使用してトランザクションを検証し、ブロックチェーン上に新しいブロックを作成することで、暗号通貨の新しい単位を生成するプロセスです。暗号通貨マイニングは、マイニング プールに参加して報酬を共有する個人またはグループによって合法的に行われる場合もあれば、マルウェアやスクリプトを使用して無防備な被害者のコンピューティング リソースを乗っ取り、それを自分の利益のために使用する脅威アクターによって違法に行われる場合もあります。この行為はクリプトジャッキングと呼ばれ、影響を受けるシステムのパフォーマンス低下、消費電力の増加、セキュリティ リスクを引き起こす可能性があります。暗号通貨マイニングは通常、CPU (中央処理装置) ではなく GPU (グラフィックス処理装置) に依存します。これは、GPU が並列処理に適しており、1 秒あたりの計算処理数が多いためです。したがって、GPU 使用率が高いことは、特にワークロードの増加について他に説明がない場合は、システムで暗号通貨マイニングが行われている兆候である可能性があります。その他のオプションは、他の原因や説明が考えられるため、GPU 使用率の高さほどクリプトマイニングを示すものではありません。帯域幅の消費は、ネットワーク トラフィック、ストリーミング サービス、ダウンロード、更新など、多くの要因によって左右されます。これは、マイニング プールやブロックチェーン ネットワークとの通信に多くの帯域幅を必要としないクリプトマイニングとは直接関係ありません。不正な変更は、ランサムウェア、スパイウェア、トロイの木馬など、多くの種類のマルウェアやサイバー攻撃の結果である可能性があります。これらはクリプトマイニングに特有のものではなく、システム上のファイルや設定を必ずしも変更するわけではなく、むしろその処理能力を使用します。異常なトラフィックの急増は、正当な需要の急増、分散型サービス拒否攻撃、ボットネットなど、さまざまな要因によっても発生する可能性があります。これらは、システムとの間で大量のトラフィックやリクエストを生成しないクリプトマイニングを示すものではありません。

SIEM (セキュリティ情報およびイベント管理) テクノロジーは、IT インフラストラクチャ全体のさまざまなリソースからのアクティビティを集約して分析します。さまざまなソースからの情報を相関させて通知をトリガーするという説明は、SIEM システムの機能と一致します。