平均検出時間 (MTTD) は、組織が環境内のセキュリティ インシデントや悪意のある行為者をどれだけ早く特定できるかを測定する指標です。MTTD を短縮すると、脅威の可視性とレポートが改善され、脅威をより早く検出して横方向の移動やデータの流出を防ぐことができます。

スクリプトでは、コマンドレット、パラメーター、変数、コメントなどの PowerShell 構文を使用します。PowerShell は、タスクを自動化し、システムを管理するために使用できるスクリプト言語です。

セキュリティ管理者は次に shtml.exe を調査する必要があります。これは、Web サーバー上でリモート コード実行を可能にする潜在的な脆弱性です。Nikto スキャンの結果によると、Web サーバーは Windows 上で Apache を実行しており、shtml.exe ファイルは /scripts/ ディレクトリでアクセス可能です。このファイルは、Web ページで動的なコンテンツ生成を可能にする Server Side Includes (SSI) 機能の一部です。ただし、SSI 機能が適切に構成されていない場合、攻撃者は URL または Web ページに悪意のあるコードを挿入して、Web サーバー上で任意のコマンドを実行できます12。したがって、セキュリティ管理者は SSI の構成と権限を確認し、必要ない場合は shtml.exe ファイルを削除するか無効にする必要があります。参考資料:
Nikto 侵入テスト。概要、Nikto による Web アプリケーション スキャン

同じ会社と地域に属する異なるソース ネットワークからの可能性のあるネットワーク アドレスを識別するのに役立つシェル スクリプト関数は次のとおりです。
関数 y() { dig $(dig -x $1 | grep PTR | tail -n 1 | awk -F ".in-addr" '{print
$1}').origin.asn.cymru.com TXT +short }
この関数は、IP アドレスを引数として受け取り、dig コマンドを使用して 2 つの DNS ルックアップを実行します。最初のルックアップでは、-x オプションを使用して逆 DNS ルックアップを実行し、IP アドレスに関連付けられたホスト名を取得します。2 番目のルックアップでは、origin.asn.cymru.com ドメインを使用して、自律システム番号 (ASN) と、国コード、レジストリ、割り当て日などの IP アドレスに関連するその他の情報を取得します。次に、この関数は IP アドレスと ASN 情報を出力します。これらの情報は、同じ ASN またはリージョンに属するネットワーク アドレスを識別するのに役立ちます。

この API エンドポイントへの GET リクエストに一致する正しい正規表現は、「https://10\.1\.2\.3/api\?id=\d+」です。このパターンは、整数値を受け入れる id パラメータを持つ特定の URL をチェックします。構文 \d+ は 1 つ以上の数字に一致し、単一の整数引数の要件と一致します。他のオプションは、誤った構文を使用するか、予想される URL 形式を正確にキャプチャしません。正規表現は、脅威ハンティングとログ分析のための CompTIA Cyber​​security Analyst (CySA+) プラクティスで推奨されているように、ログ内のパターンをフィルタリングおよび識別するために不可欠です。