出力にはポート スキャンの結果が表示されます。ポート スキャンは、ネットワーク ホストで実行されている開いているポートとサービスを識別するために使用される手法です。ポート スキャンは、攻撃者が潜在的な脆弱性を発見して悪用するために使用したり、防御者がネットワーク デバイスのセキュリティ体制と構成を評価するために使用したりできます。
出力には、ターゲット ホストで開いている 6 つのポートと、各ポートに関連付けられているサービス名およびバージョンがリストされます。サービス名は、ポートを使用しているアプリケーションまたはプロトコルの種類を示し、バージョンはサービスの特定のリリースまたは更新を示します。サービス名とバージョンは、サービスの機能、特徴、および弱点を明らかにすることができるため、攻撃者と防御者の両方にとって有用な情報となります。リストされている 6 つのポートのうち、ポート 23 とポート 636 の 2 つは特にリスクが高いため、セキュリティ チームがさらに調査する必要があります。
ポート 23 は、リモート ログインとコマンド実行用の古くて安全でないプロトコルである Telnet によって使用されます。Telnet は、ユーザー名やパスワードなど、ネットワーク経由で送信されるデータを暗号化しないため、攻撃者による盗聴、傍受、および変更に対して脆弱です。また、Telnet には、攻撃者が不正アクセスを取得したり、任意のコマンドを実行したり、ターゲット ホストでサービス拒否攻撃を引き起こしたりする可能性がある既知の脆弱性が多数あります。ポート 636 は、LDAP over SSL/TLS (LDAPS) によって使用されます。LDAPS は、安全な接続を介してディレクトリ サービスにアクセスして変更するためのプロトコルです。LDAPS は、認証、機密性、および整合性を提供する SSL/TLS 証明書を使用して、クライアントとサーバーの間で交換されるデータを暗号化します。ただし、証明書が適切に構成、検証、または更新されていない場合、LDAPS も攻撃に対して脆弱になる可能性があります。たとえば、攻撃者は自己署名証明書または期限切れの証明書を使用して、LDAPS 接続で中間者攻撃、スプーフィング攻撃、または証明書失効攻撃を実行する可能性があります。したがって、セキュリティ チームは、ターゲット ホストでポート 23 とポート 636 が開いている理由と、それらのホストで実行されているサービスについてさらに調査する必要があります。
セキュリティ チームは、これらのサービスを無効にするか、ポート 23 の SSH やポート 6362 の StartTLS など、より安全な代替手段に置き換えることも検討する必要があります。

説明
正解はCです。偽陰性です。
偽陰性とは、セキュリティ制御によって攻撃または脅威が検出されるはずであるにもかかわらず、検出されない状況です。この場合、SIEM ルールは 9 回のログイン失敗で攻撃を検出できませんでした。これは、アラートをトリガーする 10 回のログイン失敗のしきい値を下回っています。つまり、SIEM ルールは潜在的な攻撃を見逃し、セキュリティ アナリストにアラートを発せなかったため、偽陰性になったことになります。
誤検知とは、実際にはそうではないのに、無害または通常のアクティビティがセキュリティ コントロールによって攻撃または脅威として検出される状況です。真陰性とは、無害または通常のアクティビティが予想どおりにセキュリティ コントロールによって攻撃または脅威として検出されない状況です。真陽性とは、予想どおりにセキュリティ コントロールによって攻撃または脅威が検出される状況です。これらは、この質問に対する正しい回答ではありません。

サーバーに個別にログインすることなく、企業環境全体で発生するイベントを一元的に把握するための最適な実装は、B. ログを SIEM に転送するようにサーバーを構成することです。
SIEM (セキュリティ情報およびイベント管理) は、セキュリティの脅威がビジネスに支障をきたす前に組織がセキュリティの脅威を検出、分析、対応できるようにするセキュリティ ソリューションです1。SIEM ツールは、アプリケーション、デバイス、サーバー、ユーザーなど、組織のネットワーク全体のさまざまなソースからログ データを収集、集約、相関させます。また、SIEM ツールは、セキュリティ チームがサイバー攻撃を特定して軽減できるように、リアルタイムのアラート、ダッシュボード、レポート、インシデント対応機能も提供します2345。
ログを SIEM に転送するようにサーバーを構成すると、セキュリティ アナリストは、サーバーに個別にログインすることなく、潜在的な脅威を一元的に把握し、企業環境全体のセキュリティ インシデントを監視できます。これにより、時間を節約し、効率を向上させ、セキュリティ体制を強化することができます2345。
ログを集約するためにデータベースを導入する (A) と、SIEM ツールと同じレベルの分析、相関、アラートが提供されない可能性があります。各サーバーでログ ディレクトリを共有してローカル アクセスを許可すると、多数のサーバーに対してスケーラブルまたは安全でない可能性があります。アナリストへのログのメール送信を自動化する (D) と、リアルタイムの脅威検出と対応にはタイムリーまたは効果的でない可能性があります。したがって、B が、与えられた選択肢の中で最適なオプションです。

このアクティビティは正当なものであるため、これを誤検知として報告することが、セキュリティ アナリストが対応する最善の方法です。誤検知とは、無害なトラフィックがセキュリティ監視ツールによって潜在的なネットワーク攻撃として分類される状態です。ping 要求は、ネットワーク接続の問題をテストするために使用できる一般的なネットワーク診断ツールです。潜在的なネットワーク接続の問題に対応した技術者は、正当なタスクを実行しており、経理サーバーや人事サーバーに脅威を与えることはありませんでした。

インシデント対応プロセスにおける封じ込め段階の主な目標は、さらなる被害の発生を抑えることです。これには、インシデントの拡大を防ぎ、その影響を軽減するために、影響を受けたシステムまたはネットワーク セグメントを隔離するための即時の措置が含まれます。封じ込め戦略は、インシデントを迅速に阻止するための短期的なもの、または根絶および回復段階に備えるための長期的なものになります。