説明
出力にはポートスキャンの結果が表示されます。ポートスキャンは、ネットワーク ホストで開いているポートと実行中のサービスを識別するために使用される手法です。ポートスキャンは、攻撃者が潜在的な脆弱性を発見して悪用するために、または防御者がネットワーク デバイスのセキュリティ体制と構成を評価するために使用できます。1 出力には、ターゲット ホストで開いている 6 つのポートと、各ポートに関連付けられているサービス名とバージョンが一覧表示されます。サービス名はポートを使用しているアプリケーションまたはプロトコルの種類を示し、バージョンはサービスの特定のリリースまたは更新を示します。サービス名とバージョンは、サービスの機能、特徴、および弱点を明らかにすることができるため、攻撃者と防御者の両方にとって有用な情報になります。
リストされている 6 つのポートのうち、2 つは特に危険であり、セキュリティ チームがさらに調査する必要があります。
ポート 23 とポート 636。
ポート 23 は、リモート ログインおよびコマンド実行用の古くて安全でないプロトコルである Telnet によって使用されます。
Telnet は、ユーザー名やパスワードなど、ネットワーク上で送信されるデータを暗号化しません。そのため、攻撃者による盗聴、傍受、改ざんに対して脆弱です。また、Telnet には、攻撃者が不正アクセスを取得したり、任意のコマンドを実行したり、ターゲット ホストに対してサービス拒否攻撃を引き起こしたりする可能性のある既知の脆弱性が多数存在します23。ポート 636 は、LDAP over SSL/TLS (LDAPS) によって使用されます。LDAPS は、安全な接続を介してディレクトリ サービスにアクセスし、変更するためのプロトコルです。LDAPS は、認証、機密性、整合性を提供する SSL/TLS 証明書を使用して、クライアントとサーバー間で交換されるデータを暗号化します。ただし、証明書が適切に構成、検証、または更新されていない場合、LDAPS も攻撃に対して脆弱になる可能性があります。たとえば、攻撃者は自己署名証明書または期限切れの証明書を使用して、LDAPS 接続に対して中間者攻撃、スプーフィング攻撃、または証明書失効攻撃を実行する可能性があります。
したがって、セキュリティチームは、ターゲットホストでポート23とポート636がなぜ開いているのか、そしてそこでどのようなサービスが実行されているのかをさらに調査する必要があります。また、これらのサービスを無効化するか、ポート23ではSSH、ポート6362ではStartTLSなど、より安全な代替手段に置き換えることも検討する必要があります。

NIST SP 800-52 Rev. 2 deprecates TLS 1.0 (and 1.1) because of known weaknesses; allowing clients to fall back to these versions undermines the integrity of the encrypted channel. All other findings either strengthen encryption (disabling SSLv3, compression) or don't directly compromise the cryptographic strength (self-signed cert, lack of TLS 1.3).

包括的かつ詳細な説明：
ビットレベルのイメージは、未割り当て領域、削除されたファイル、メタデータなど、ディスク上のすべてのデータを保持するフォレンジックグレードのコピーです。これは、潜在的な証拠を見逃さないため、デジタル証拠収集において最も法的に防御力の高い形式です。
* すべてのアクセス ファイルをコピーすると (オプション A)、ライブ ファイルのみがキャプチャされ、削除されたファイルやシステム レベルの重要なアーティファクトは省略されます。
* ファイルレベルのアーカイブ (オプション B) を作成するだけでは不十分です。システム メタデータやフォレンジック アーティファクトが存在する空き領域がキャプチャされないためです。
* 完全なシステム バックアップ インベントリ (オプション C) を提供すると、重要なファイルが含まれる可能性がありますが、バックアップによってタイムスタンプが変更されることが多く、すべてのシステム状態がキャプチャされないため、フォレンジック整合性が欠如します。
したがって、ビットレベルのイメージは法医学的整合性と証拠の完全性を保証するため、正解は D です。

TCPDump は、メモリを消費するハーフオープン TCP セッションに関連する DoS 攻撃をサーバーが受けていたかどうかを証明するのに最適なツールです。TCPDump は、TCP、UDP、ICMP パケットなどのネットワーク トラフィックをキャプチャして分析できるコマンドライン ツールです。TCPDump を使用すると、管理者はトラフィックの送信元と送信先、TCP フラグとシーケンス番号、パケット サイズと頻度、および DoS 攻撃を示すその他の情報を特定できます。ハーフオープン TCP セッションに関連する DoS 攻撃は SYN フラッド攻撃とも呼ばれ、大量の TCP SYN 要求を送信し、TCP SYN-ACK 応答を無視することで、ターゲット サーバーのネットワーク帯域幅またはリソースを使い果たすことを目的としたボリューム攻撃の一種です。これにより、サーバー上にハーフオープン接続のバックログが作成され、メモリと CPU リソースが消費され、正当な接続が確立されなくなります12。 TCPDumpは、異なる送信元IPアドレスを持つTCP SYNパケットの数が多いこと、TCP SYN-ACKパケットの数が少ないこと、TCP ACKパケットの数が非常に少ないことなどを調べることで、管理者がSYNフラッド攻撃を検出するのに役立ちます34。参考：SYNフラッドDDoS攻撃 | Cloudflare、SYNフラッド攻撃とは何か、そしてどのように防ぐのか？ | NETSCOUT、TCPDump - ネットワーク分析とセキュリティのための強力なツール、TCPDumpでSYNフラッド攻撃を検出する方法

説明
デバイスのフォレンジックイメージを作成し、SRA-Iハッシュを作成することは、デバイスのデータの正確なコピーを作成し、その整合性を検証するため、証拠保全のための最善のステップです。フォレンジックイメージは、デバイスのストレージメディアのビット単位のコピーであり、削除されたファイルや隠しファイルを含む、デバイス上のすべての情報を保存します。SRA-Iハッシュは、フォレンジックイメージから計算される暗号値であり、イメージが変更または改ざんされていないことを証明するために使用できます。他のオプションは、すべての関連データを取得できない可能性があり、証拠の真正性を十分に検証できない可能性があるため、フォレンジックイメージを作成し、SRA-Iハッシュを作成するほど効果的ではありません。公式リファレンス：
https://www.sans.org/blog/forensics-101-acquiring-an-image-with-ftk-imager/
https://swailescomputerforensics.com/digital-forensics-imaging-hash-value/