* プレイブックとそのコンポーネントを理解する:
* この展示では、悪意のあるファイルを検出するとイベント トリガーがアクションを開始するプレイブックを示します。
* プレイブックの初期タスクには、CREATE_INCIDENT と GET_EVENTS が含まれます。
* 現在のタスクの分析:
* EVENT_TRIGGER STARTER: 指定されたイベント (悪意のあるファイルの検出) が発生したときにプレイブックを開始します。
* CREATE_INCIDENT: このタスクは、追跡と対応のためにインシデント管理システムに新しいインシデントを作成する可能性があります。
* GET_EVENTS: このタスクは、検出された悪意のあるファイルに関連するイベントの詳細を取得します。
* 次のタスクの目的:
* インシデントを作成し、イベントの詳細を取得した後の次の論理的なステップは、イベント データを使用してインシデントを更新し、関連するすべての情報がインシデント レコードに添付されていることを確認することです。
* これにより、インシデント記録内のすべての関連詳細が統合され、効率的な追跡と対応が容易になり、SOC アナリストに役立ちます。
* オプションの評価:
* オプション A: 資産と ID の更新は、インシデントにイベント データを添付することには直接関係しません。
* オプション B: インシデントにデータを添付するというのはもっともらしいように思えますが、通常、インシデントの更新には、ステータスの更新、コメントの追加、その他のデータの変更など、より包括的な変更が伴います。
* オプション C: レポートの実行は、イベント データを使用してインシデントを更新することが目的であるため、このコンテキストでは無関係です。
* オプション D: インシデントの更新は、既存のインシデント レコードにイベント データを組み込むのに最適なアクションです。
* 結論：
* プレイブックの次のタスクは、イベント データを使用してインシデントを更新し、インシデントがさらなる調査と対応に必要なすべての情報を反映するようにすることです。
参考文献:
プレイブックの作成とインシデント管理に関する Fortinet のドキュメント。
SOC 運用におけるインシデント対応を自動化するためのベスト プラクティス。

* 問題を理解する:
* 1 台の FortiGate デバイスが他のデバイスと比較して大幅に大量のログを生成しているため、ADOM のストレージ クォータを超えています。
* これにより、パフォーマンスの問題が発生し、FortiAnalyzer 内でログを効果的に管理することが困難になる可能性があります。
* 考えられる解決策:
* 目標は、ログの量を管理し、ADOM が割り当て量を超過しないようにしながら、効果的なログ分析と監視を維持することです。
* 解決策 A: 最初の FortiGate デバイスのストレージ容量の割り当てを増やす:
* ストレージ領域のクォータを増やすと一時的には緩和されるかもしれませんが、過剰なログボリュームという問題の根本的な原因は解決されません。
* ログの量が増え続ける可能性があるため、このソリューションは長期的には持続可能ではない可能性があります。
* 長期的かつ効率的なソリューションを提供しないため、選択されません。
* ソリューション B: 最初の FortiGate デバイス用に別の ADOM を作成し、異なるストレージ ポリシー セットを構成する:
* 個別の ADOM を作成すると、ログ容量が大きいデバイスに特化したストレージ ポリシーと管理が可能になります。
* これにより、ストレージ負荷を分散し、より厳密な、またはカスタマイズされた保持およびストレージ ポリシーを適用できるようになります。
* ログの保存と整理を効率的に管理できるため選択されました。
* 解決策 C: 最初の FortiGate デバイスを再構成して、FortiAnalyzer に転送するログの数を減らす:
* FortiGate デバイスのログ設定を調整することで、FortiAnalyzer に転送されるログの量を減らすことができます。
* これには、不要なログ記録を無効にしたり、ログ記録レベルを下げたり、重要度の低いログを除外したりすることが含まれます。
* ログ ボリュームが多すぎるという問題に直接対処するため選択されました。
* ソリューション D: 最初の FortiGate デバイスから送信されたデータをフィルタリングするためのデータセレクタを構成する:
* データ セレクターを使用すると、FortiAnalyzer に送信されるログをフィルター処理し、関連するログのみが転送されるようにすることができます。
* これにより、ログの量を削減できますが、重要なログが見逃されないように、詳細な構成と定期的な更新が必要になる場合があります。
* FortiGate デバイスで直接ログ設定を再構成するほど効果的ではない可能性があるため、選択されません。
* 実装手順:
* ソリューションBの場合:
* ステップ 1: FortiAnalyzer にアクセスし、ADOM 管理セクションに移動します。
* ステップ 2: ログ量の多い FortiGate デバイス用に新しい ADOM を作成します。
* ステップ 3: FortiGate デバイスをこの新しい ADOM に登録します。
* ステップ 4: ログの保持とストレージを管理するために、新しい ADOM の特定のストレージ ポリシーを構成します。
* ソリューションCの場合:
* ステップ 1: FortiGate デバイスの構成インターフェイスにアクセスします。
* ステップ 2: ログ設定に移動します。
* ステップ 3: ログ レベルを調整し、不要なログを無効にします。
* ステップ 4: 設定を保存し、FortiAnalyzer に送信されるログの量を監視します。
Fortinet の FortiAnalyzer ADOM とログ管理に関するドキュメント、FortiAnalyzer 管理ガイド、FortiGate のログ設定の構成に関する Fortinet ナレッジベース、FortiGate ログ ガイド。ログ量の多い FortiGate デバイス用に別の ADOM を作成し、そのログ設定を再構成することで、ログ量を効果的に管理し、ADOM がクォータを超えないようにすることができます。

* カスタム イベント ハンドラーの構成について理解する:
* イベント ハンドラーは、特定のログ データに基づいてイベントを生成するように設定されています。
* 目標は、FortiMail によって検出されたスパム メール専用のイベントを生成することです。
* 問題の分析:
* イベント ハンドラーは現在、スパム メールとクリーン メールの両方に対してイベントを生成しています。
* これは、ルールのフィルタリング基準がスパムメールと非スパムメールを正しく区別していないことを示します。
* オプションの評価:
* オプションA：ログの種類で「アンチスパムログ（スパム）」を選択すると、スパムメールに関連するログのみが対象となります。これは、スパムメールをフィルタリングする最も簡単で正確な方法です。
* オプション B: ログ フィルター (テキスト) フィールドに type==spam と入力すると、ログのフィルター処理には役立ちますが、正しいログ タイプを選択する場合ほど直接的かつ信頼できるものではありません。
* オプション C: データ セレクターでフィルターを使用してイベントを作成するルールを無効にしても、スパム ログのフィルター処理の問題は具体的には解決されません。
* オプション D:「グループ内で、ログ フィールド スパム名 (snane) に 2 つ以上の一意の値がある」を選択すると、スパム ログのフィルタリングには直接関係がないため、フィルタリング基準が不正確になる可能性があります。
* 結論：
* ルールの正しい変更は、「ログの種類」フィールドで「アンチスパムログ（スパム）」を選択することです。これにより、イベントハンドラーはスパムメールに対してのみイベントを生成するようになります。
参考文献:
イベント ハンドラーとログ タイプに関する Fortinet のドキュメント。
FortiMail のスパム対策設定を構成するためのベスト プラクティス。

* 脅威ハンティングデータの理解:
* 提供されている展示の Threat Hunting Monitor には、さまざまなアプリケーション サービス、その使用回数、送信バイト数、平均送信バイト数、最大送信バイト数などのデータ メトリックが表示されます。
* 展示の 2 番目の部分には、特定の送信元 IP (10.0.1.10) から宛先 IP (8.8.8.8) への接続試行がリストされており、「接続に失敗しました」というメッセージが繰り返し表示されます。
* アプリケーション サービスの分析:
* DNS は、非常に高いカウント (251,400) と注目すべき送信バイト数 (9.1 MB) を誇るトップ アプリケーション サービスです。
* この大量の DNS トラフィックは通常の DNS クエリでは異常であり、DNS トンネリングの存在を示している可能性があります。
* DNSトンネリング:
* DNSトンネリングは、DNSクエリと応答内のデータを暗号化することでセキュリティ制御を回避する攻撃者が使用する手法です。これにより、攻撃者は検知されることなくローカルネットワークからデータを抽出できます。
* DNS トラフィック量が多く、詳細なメトリクスと組み合わせると、DNS トンネリングが使用されている可能性があることが示唆されます。
* 8.8.8.8 への接続失敗:
* 送信元 IP (10.0.1.10) から宛先 IP (8.8.8.8) への接続試行が繰り返し発生し、接続に失敗する場合は、外部サーバーとの通信試行を示している可能性があります。
* Google DNS (8.8.8.8) は、信頼性とグローバルな範囲を備えているため、DNS トンネリングによく使用されます。
* 結論：
* 大量の DNS トラフィックと接続試行の性質を考慮すると、ローカル ネットワークから機密データを抽出するために DNS トンネリングが使用されていると結論付けるのは妥当です。
* 他の選択肢の可能性が低い理由:
* スピアフィッシング (A): 提供されたデータには、電子メール ログやフィッシング インジケーターなど、スピアフィッシングの試みを示唆する証拠はありません。
* 偵察 (C): データは、メール サーバーのスキャンや調査などの一般的な偵察活動を示すものではありません。
* FTP C&C (D): 提供されたデータには、FTP トラフィックまたは FTP を使用したコマンド アンド コントロール通信の証拠はありません。
SANS Institute: 「DNS トンネリング: DNS クエリを通じてデータの流出とトンネリングを検出する方法」 SANS DNS トンネリング OWASP: 「DNS トンネリング」 OWASP DNS トンネリング 提供された脅威ハンティング データを分析すると、DNS トンネリングがデータの流出に使用されていることが明らかであり、ネットワークから機密情報を抽出する高度な手法が示されています。

* プレイブックとそのコンポーネントを理解する:
* この展示では、「DOS 攻撃」という名前のプレイブックとそれに関連付けられたタスクのステータスが表示されます。
* プレイブックは、DoS 攻撃イベントを検出すると一連のタスクを実行するように設計されています。
* プレイブックタスクの分析:
* Attach_Data_To_Incident:タスク ID placeholder_8fab0102、ステータスは「upstream_failed」です。これは、前のタスクの失敗により正常に実行されなかったことを意味します。
* イベントの取得: タスク ID placeholder_fa2a573c、ステータスは「成功」です。
* SMTP 列挙インシデントを作成します: タスク ID placeholder_3db75c0a、ステータスは「失敗」です。
* 生のログを確認する:
* エラー ログには、ValueError: 基数 10 の int() の無効なリテラル: '10.200.200.100' が表示されます。
* このエラーは、タスクが文字列 (IP アドレス '10.200.200.100') を整数に変換しようとしたが、それが不可能であることを示します。
* エラーの原因を特定する:
* エラーはファイル「incident_operator.py」、具体的には execute メソッドで発生します。
* これは、「SMTP 列挙インシデントの作成」タスクがデータ タイプを正しく処理できなかったために問題を引き起こしていることを示しています。
* 結論：
* プレイブックの失敗は、「SMTP列挙インシデントの作成」タスクが整数値を期待するところ、文字列値（IPアドレス）を受け取ったために発生します。このデータ型の不一致がエラーの原因です。
参考文献:
プレイブックとタスク構成に関する Fortinet のドキュメント。
ValueError を理解するための Python エラー処理ドキュメント。