フィッシング攻撃は、ユーザー教育とトレーニングによって最も効果的に軽減されます。フィッシング攻撃の50%減少は、従業員の警戒心を高める強力な意識向上プログラムの効果を示唆しています。
オプション A (パッチ適用) は、エクスプロイトの防止に役立ちますが、フィッシング攻撃を直接減らすわけではありません。
オプション B (構成管理) は適切なシステムセットアップを保証しますが、フィッシング防止には対応していません。
オプション D (脅威モデリング) はセキュリティ計画には役立ちますが、フィッシング攻撃を積極的に削減するものではありません。
したがって、認識トレーニングによって従業員に電子メールベースの脅威について教育することで、フィッシングの成功率が大幅に低下するため、C が正解です。

GPU使用率の高さは、暗号通貨マイニングが発生している可能性を示す最も可能性の高い指標です。これは、暗号通貨のマイニングに伴う複雑な数学的問題を解くために必要な膨大な計算作業を反映しているからです。暗号通貨マイニングとは、コンピューティングパワーを用いてトランザクションを検証し、ブロックチェーン上に新しいブロックを作成することで、暗号通貨の新しい単位を生成するプロセスです。暗号通貨マイニングは、マイニングプールに参加して報酬を分配する個人またはグループによって合法的に行われる場合もあれば、マルウェアやスクリプトを用いて無防備な被害者のコンピューティングリソースを乗っ取り、それを私腹を肥やす脅威アクターによって違法に行われる場合もあります。この行為はクリプトジャッキングと呼ばれ、影響を受けるシステムのパフォーマンス低下、消費電力の増加、セキュリティリスクを引き起こす可能性があります。暗号通貨マイニングは通常、CPU（中央処理装置）ではなくGPU（グラフィックス処理装置）に依存します。GPUは並列処理に適しており、1秒あたりに処理できる計算量が多いためです。したがって、GPU使用率の高さは、特にワークロードの増加の原因が他にない場合、システム上で暗号通貨マイニングが行われている兆候である可能性があります。その他の選択肢は、GPU使用率の高さほどクリプトマイニングを示唆するものではなく、他の原因や説明が考えられます。帯域幅の消費は、ネットワークトラフィック、ストリーミングサービス、ダウンロード、アップデートなど、多くの要因の影響を受ける可能性があります。これはクリプトマイニングとは直接関係ありません。クリプトマイニングは、マイニングプールやブロックチェーンネットワークとの通信に多くの帯域幅を必要としません。不正な変更は、ランサムウェア、スパイウェア、トロイの木馬など、さまざまな種類のマルウェアやサイバー攻撃によって発生する可能性があります。
これらは暗号通貨マイニングに特有のものではありません。暗号通貨マイニングは、必ずしもシステム上のファイルや設定を変更するわけではなく、システムの処理能力を消費するものです。異常なトラフィックの急増は、正当な需要の急増、分散型サービス拒否攻撃、ボットネットなど、さまざまな要因によっても発生する可能性があります。暗号通貨マイニングはシステムとの間で大量のトラフィックやリクエストを生成するわけではないため、これらの兆候は暗号通貨マイニングの兆候ではありません。

The most volatile type of evidence that must be collected first in a computer system is running processes. Running processes are programs or applications that are currently executing on a computer system and using its resources, such as memory, CPU, disk space, or network bandwidth. Running processes are very volatile because they can change rapidly or disappear completely when the system is shut down, rebooted, logged off, or crashed. Running processes can also be affected by other processes or users that may modify or terminate them. Therefore, running processes must be collected first before any other type of evidence in a computer system

The point is that scans outside the scope can accidentally break it. That's dangerous to the customer's environment.

正確なインシデント対応報告を確実に行うには、イベントのタイムラインを明確に定義することが最も重要です。タイムラインは、何がいつ発生し、誰が関与し、どのような対応が取られたかを明確かつ時系列で記録するからです。タイムラインは、インシデントの根本原因、被害の影響と範囲、対応の有効性、そして将来の改善に向けた教訓を特定するのに役立ちます。また、タイムラインは、経営陣、法務、規制当局、メディアなどの関係者にインシデントを伝える際にも役立ちます。インシデント対応報告には他の要素も重要ですが、明確に定義されたタイムラインほど重要ではありません。