* プレイブックとそのコンポーネントを理解する:
* この展示では、悪意のあるファイルを検出するとイベント トリガーがアクションを開始するプレイブックを示します。
* プレイブックの初期タスクには、CREATE_INCIDENT と GET_EVENTS が含まれます。
* 現在のタスクの分析:
* EVENT_TRIGGER STARTER: 指定されたイベント（悪意のあるファイル）が発生したときにプレイブックを開始します。
* 検出）が発生します。
* CREATE_INCIDENT: このタスクは、追跡と対応のためにインシデント管理システムに新しいインシデントを作成する可能性があります。
* GET_EVENTS: このタスクは、検出された悪意のあるファイルに関連するイベントの詳細を取得します。
* 次のタスクの目的:
* インシデントを作成し、イベントの詳細を取得した後の次の論理的なステップは、イベント データを使用してインシデントを更新し、すべての関連情報がインシデント レコードに添付されていることを確認することです。
* これにより、インシデント記録内のすべての関連詳細が統合され、効率的な追跡と対応が容易になり、SOC アナリストに役立ちます。
* オプションの評価:
* オプション A: 資産と ID の更新は、インシデントにイベント データを添付することに直接関係しません。
* オプション B: インシデントにデータを添付するはもっともらしいように思えますが、通常、インシデントの更新には、ステータスの更新、コメントの追加、その他のデータの変更など、より包括的な変更が伴います。
* オプション C: レポートの実行は、イベント データを使用してインシデントを更新することが目的であるため、このコンテキストでは無関係です。
* オプション D: インシデントの更新は、既存のインシデント レコードにイベント データを組み込むのに最適なアクションです。
* 結論：
* プレイブックの次のタスクは、イベント データを使用してインシデントを更新し、インシデントがさらなる調査と対応に必要なすべての情報を反映するようにすることです。
参考文献:
* プレイブックの作成とインシデント管理に関する Fortinet のドキュメント。
* SOC 運用におけるインシデント対応を自動化するためのベスト プラクティス。

* 脅威ハンティングデータの理解:
* 提供されている展示の Threat Hunting Monitor には、さまざまなアプリケーション サービス、その使用回数、送信バイト数、平均送信バイト数、最大送信バイト数などのデータ メトリックが表示されます。
* 展示の 2 番目の部分には、特定の送信元 IP (10.0.1.10) から宛先 IP (8.8.8.8) への接続試行がリストされ、「接続に失敗しました」というメッセージが繰り返し表示されます。
* アプリケーションサービスの分析:
* DNS は、カウント数 (251,400) が非常に多く、送信バイト数 (9.1 MB) も注目に値する、トップのアプリケーション サービスです。
* この大量の DNS トラフィックは通常の DNS クエリでは異常であり、DNS トンネリングの存在を示している可能性があります。
* DNSトンネリング:
* DNS トンネリングは、DNS クエリと応答内のデータをエンコードしてセキュリティ制御を回避するために攻撃者が使用する手法です。これにより、攻撃者は検出されることなくローカル ネットワークからデータを抽出できます。
* DNS トラフィックの量が多く、詳細なメトリックも含まれていることから、DNS トンネリングが使用されている可能性が示唆されます。
* 8.8.8.8 への接続失敗:
* 送信元 IP (10.0.1.10) から宛先 IP (8.8.8.8) への接続試行が繰り返し行われ、接続に失敗する場合は、外部サーバーとの通信試行を示している可能性があります。
* Google DNS (8.8.8.8) は、信頼性とグローバルな範囲を備えているため、DNS トンネリングによく使用されます。
* 結論：
* 大量の DNS トラフィックと接続試行の性質を考慮すると、ローカル ネットワークから機密データを抽出するために DNS トンネリングが使用されていると結論付けるのは妥当です。
* 他の選択肢の可能性が低い理由:
* スピアフィッシング (A): 提供されたデータには、電子メール ログやフィッシング インジケーターなど、スピアフィッシングの試みを示唆する証拠はありません。
* 偵察 (C): データは、メール サーバーのスキャンや調査などの一般的な偵察活動を示すものではありません。
* FTP C&C (D): 提供されたデータには、FTP トラフィックや FTP を使用したコマンド アンド コントロール通信の証拠はありません。
参考文献:
* SANS Institute: 「DNS トンネリング: DNS クエリによるデータ流出とトンネリングの検出方法」 SANS DNS トンネリング
* OWASP: 「DNS トンネリング」 OWASP DNS トンネリング
提供された脅威ハンティング データを分析すると、DNS トンネリングがデータの流出に使用されていることが明らかになり、ネットワークから機密情報を抽出する高度な手法が使用されていることが示されました。