[2026-06-13更新,26問] 無料Fortinet NSE7_SOC_AR-7.6試験問題集、NSE7_SOC_AR-7.6必殺問題集(ページ 4)

別紙参照:
複数のログデバイスが登録されているネットワークにおいて、新しいFortiAnalyzerの導入を確認するという課題があります。トポロジーにはFortiAnalyzerが1つだけ存在します。
どのような潜在的な問題が見られますか?

A. 割り当てられたディスク容量が不足しています。

B. 分析とアーカイブの比率が正しく構成されていません。

C. 分析の保持期間が長すぎます。

D. アーカイブの保持期間が長すぎます。

正解: B

* FortiAnalyzerのデータポリシーとディスク使用率について:
* FortiAnalyzer はデータポリシーを使用して、ログの保存、保持、およびディスク使用率を管理します。
* データポリシーセクションでは、分析とアーカイブの目的でログが保存される期間を示します。
* ディスク使用率セクションでは、割り当てられたディスク領域と分析およびアーカイブに使用される割合、およびディスク使用率に基づいてアラートをトリガーするタイミングを指定します。
* 提供された展示物の分析:
* 分析用ログの保存期間:60日間
* ログをアーカイブに保存:120日間
* ディスク割り当て:300 GB (最大 441 GB 使用可能)
* 分析: アーカイブ比率:30% : 70%
* 使用量が90%に達すると警告して削除
* 潜在的な問題の特定:
* ディスク領域の割り当て: 割り当てられたディスク領域は、使用可能な 441 GB のうち 300 GB です。ログボリュームが大きい場合は不十分ではない可能性がありますが、指定されたデータに基づくと、これは主な懸念事項ではありません。
* 分析とアーカイブの比率: 分析が 30%、アーカイブが 70% という比率は異例です。
通常、リアルタイムまたは最新のデータ分析が優先されるため、分析にはより高い割合が割り当てられます。一般的な構成としては、分析70%、アーカイブ30%などが挙げられます。この比率が誤っていると、分析用のスペースが不足し、リアルタイムの監視と分析に問題が発生する可能性があります。
* 保持期間: 保持期間は長いように見えるかもしれませんが、具体的なログ量とコンプライアンス要件を知らなければ、必ずしも問題を示すものではありません。
これらの期間の長さは、組織のニーズや法的要件に応じて異なる場合があります。
* 結論：
* 分析の結果、主な問題は分析とアーカイブの比率の設定ミスであることが確認されました。この設定ミスは、FortiAnalyzerによるリアルタイムログ分析の有効性に重大な影響を与え、脅威の検知と対応の遅延につながる可能性があります。
参考文献:
FortiAnalyzer のデータポリシーとディスク管理に関する Fortinet のドキュメント。
FortiAnalyzer のログ管理とディスク使用率に関するベストプラクティス。

展示品を参照してください。

FortiAnalyzer ファブリック内のすべてのデバイスが画像に表示されているものとします。
FortiAnalyzer Fabric の導入に関する次の記述のうち、正しいものはどれですか? (2 つ選択してください。)

A. FortiGate-B1 と FortiGate-B2 はセキュリティファブリック内にあります。

B. トポロジ内にコレクターが存在しません。

C. すべての FortiGate デバイスはスーパーバイザに直接登録されます。

D. FAZ-SiteA では 2 つの ADOM が有効になっています。

正解: A,D

* FortiAnalyzerファブリックについて理解する:
* FortiAnalyzer Fabric は、接続された FortiGate デバイスの集中的なログ収集、分析、レポート機能を提供します。
* FortiAnalyzer ファブリック内のデバイスは、ログと管理を分離するために、異なる管理ドメイン (ADOM) に編成できます。
* 展示品の分析:
* ファブリック内の FAZ-SiteA および FAZ-SiteBare FortiAnalyzer デバイス。
* FortiGate-B1 と FortiGate-B2 は Site-B-Fabric の下に表示され、同じセキュリティファブリックの一部であることを示しています。
* FAZ-SiteA の下には複数のエントリ (SiteA および MSSP-Local) があり、複数の ADOM が有効になっていることを示しています。
* オプションの評価:
* オプション A: FortiGate-B1 と FortiGate-B2 は Site-B-Fabric の下にあるため、実際には同じセキュリティファブリックの一部であることがわかります。
* オプションB：FortiAnalyzerとしてFAZ-SiteAとFAZ-SiteBが存在することは、コレクターの存在を排除するものではありません。ただし、図表にはコレクターの役割が別途明示されていません。
* オプションC：すべてのFortiGateデバイスがスーパーバイザに直接登録されているわけではありません。図は、異なるサイトおよびADOMにおける階層構造を示しています。
* オプション D: FAZ-SiteA の下の複数のエントリ (SiteA と MSSP-Local) は、FAZ-SiteA に 2 つの ADOM が有効になっていることを示します。
* 結論：
* FortiGate-B1 と FortiGate-B2 はセキュリティファブリックに含まれています。
* FAZ-SiteA では 2 つの ADOM が有効になっています。
参考文献:
FortiAnalyzer ファブリックトポロジと ADOM 構成に関する Fortinet のドキュメント。
FortiAnalyzer を使用したセキュリティファブリックの導入に関するベストプラクティス。

展示品を参照してください。

SMTP偵察活動を検出するために設定したカスタムイベントハンドラーが、大量のイベントを生成していることに気づきました。これにより、通知システムが過負荷状態になっています。
これをどう修正すればいいでしょうか?

A. カスタムイベントハンドラーは期待どおりに動作していないため、無効にします。

B. イベントの作成時に、より一意のフィールド値を探すように、ログフィールド値を増やします。

C. 攻撃中にカスタムイベントハンドラーがカバーする時間範囲を短縮します。

D. 特定のグループによってトリガーされたカウントを識別して減らすように、トリガーカウントを増やします。

正解: D

* 問題を理解する:
* SMTP 偵察アクティビティを検出するためのカスタムイベントハンドラーが大量のイベントを生成しています。
* この大量のイベントにより通知システムが圧倒され、アラート疲れやインシデント対応の非効率性が発生する可能性があります。
* イベントハンドラの構成:
* イベントハンドラーは、特定の条件に基づいてアラートをトリガーするように構成されます。
* これらのアラートの頻度と音量は、トリガー条件を調整することで制御できます。
* 考えられる解決策:
* A. 特定のグループによってトリガーされたカウントを識別して減らすように、トリガーカウントを増やします。
* トリガー数を増やすと、より高いアクティビティのしきい値が検出された場合にのみイベントハンドラーがアラートを生成するようになります。
* これにより、生成されるイベントの数が減り、通知システムの過負荷を防ぐことができます。
* 生成されるイベントの量を効率的に管理するため選択されました。
* B. カスタムイベントハンドラーは期待どおりに動作しないため、無効にします。
* イベントハンドラーを無効にすると、SMTP 偵察アクティビティの監視が完全に停止されるため、実用的な解決策ではありません。
* イベント生成の微調整の問題に対処していないため、選択されません。
* C. 攻撃中にカスタムイベントハンドラーがカバーする時間範囲を短縮します。
* 時間範囲を短縮すると、場合によっては役立つ可能性がありますが、攻撃が長期間にわたる場合は重要なアクティビティを見逃す可能性もあります。
* 重要なイベントの報告不足につながる可能性があるため、選択されません。
* D. イベントを作成するときに、より一意のフィールド値を探すように、ログフィールド値を増やします。
* ログフィールドの値を調整すると、イベント条件が絞り込まれる可能性がありますが、アラートの量は直接制御されません。
* イベントボリュームを管理する最も効果的な方法ではないため、選択されません。
* 実装手順:
* ステップ 1: FortiAnalyzer のイベントハンドラー構成にアクセスします。
* 手順 2: SMTP 偵察のカスタムイベントハンドラー内でトリガーカウント設定を見つけます。
* ステップ 3: アラートの感度と音量のバランスが取れるように、トリガーカウントを高い値に増やします。
* ステップ 4: 構成を保存し、イベント生成を監視して、予想されるレベルと一致していることを確認します。
* 結論：
* トリガー数を増やすと、カスタムイベントハンドラーによって生成されるイベントの数を効果的に減らすことができ、通知システムが過負荷になるのを防ぐことができます。
イベントハンドラと構成に関する Fortinet ドキュメント FortiAnalyzer 管理ガイドイベント管理のベストプラクティス Fortinet ナレッジベースカスタムイベントハンドラのトリガー数を増やすことで、生成されるイベントの量を管理し、通知システムが過負荷になるのを防ぐことができます。

展示物を参照してください。

スピアフィッシングイベントハンドラと関連ルールを設定しました。しかし、FortiAnalyzerはイベントを生成しませんでした。
FortiAnalyzer ログビューアを確認すると、生のログの展示に示されているように、FortiSandbox が適切なログを転送したことを確認できます。
FortiAnalyzer がイベントを生成するには、FortiAnalyzer でどのような設定を変更する必要がありますか?

A. ログタイプフィールドで、選択を AntiVirus ログ (マルウェア) に変更します。

B. FortiSandbox データセレクターを構成し、イベントハンドラーに追加します。

C. [テキストによるログフィルター] フィールドに、値「.5 ub t ype ma Iwa re..」を入力します。

D. トリガー条件を選択して変更します。グループ内で、ログフィールド「Malware Kame (mname>」に2つ以上の一意の値があります。

正解: B

* イベントハンドラーの構成について理解する:
* イベントハンドラーは、FortiSandbox などの他の Fortinet 製品から転送されたログに基づいて、スピアフィッシングなどの特定のセキュリティインシデントを検出するように設定されています。
* イベントハンドラーには、イベントをトリガーする条件を定義するルールが含まれています。
* 現在の構成の分析:
* 現在のイベントハンドラーの名前は「スピアフィッシングハンドラー」で、ルールのタイトルは「スピアフィッシングルール 1」です。
* ログビューアーには、ログが FortiSandbox によって転送されていることが示されますが、FortiAnalyzer によってイベントは生成されません。
* イベント処理の主要コンポーネント:
* ログタイプ: イベントハンドラーをトリガーするログのタイプを決定します。
* データセレクター: イベントをトリガーするためにログが満たす必要がある条件を指定します。
* オートメーションステッチ: イベントが発生したときにトリガーできるオプションのアクション。
* 通知: イベントが検出されたときにアラートを伝達する方法を定義します。
* 問題の特定:
* FortiSandbox ログは正しく転送されますが、イベントは生成されないため、問題はデータセレクターの構成またはログタイプの一致にある可能性があります。
* データセレクターは、FortiSandbox によって転送されたログを含めるように構成する必要があります。
* 解決：
* B. FortiSandbox データセレクターを設定し、イベントハンドラーに追加します。
* FortiSandbox ログ専用のデータセレクターを構成し、それをイベントハンドラーに追加することで、FortiAnalyzer は転送されたログに基づいてイベントを正確に識別してトリガーできます。
* ソリューションを実装する手順:
* ステップ 1: FortiAnalyzer のイベントハンドラー設定に移動します。
* ステップ 2: FortiSandbox によって転送されたログに一致する条件 (ログのサブタイプ、マルウェア検出の詳細など) を含む新しいデータセレクターを追加します。
* ステップ 3: このデータセレクターを既存のスピアフィッシングイベントハンドラーにリンクします。
* ステップ 4: 構成を保存し、イベントが生成されていることを確認するためにテストします。
* 結論：
* イベントハンドラー内で FortiSandbox データセレクターを正しく構成すると、FortiAnalyzer は関連するログに基づいてイベントを生成できるようになります。
イベントハンドラとデータセレクタに関する Fortinet ドキュメント FortiAnalyzer イベントハンドラデータセレクタを構成するための Fortinet ナレッジベース FortiAnalyzer データセレクタ FortiSandbox データセレクタを構成してイベントハンドラに追加することで、FortiAnalyzer は適切なログに基づいてイベントを正確に生成できるようになります。

FortiAnalyzer は、IOC 侵害の可能性があるホストを識別するために、どの 3 つのエンドユーザーログを使用しますか? (3 つ選択してください。)

A. メールフィルターログ

B. DNSフィルターログ

C. アプリケーションフィルタログ

D. IPSログ

E. Webフィルターログ

正解: B,D,E

* 侵害の兆候（IoC）の概要：侵害の兆候（IoC）とは、システムが侵害された可能性を示唆する証拠です。これには、異常なネットワークトラフィックパターン、既知の悪意のあるファイルの存在、その他の疑わしいアクティビティなどが含まれます。
* FortiAnalyzerの役割：FortiAnalyzerは、さまざまなFortinetデバイスからのログを集約し、ネットワークイベントの包括的な可視性と分析を提供します。これらのログを使用して、潜在的なIoCと侵害されたホストを特定します。
* 関連するログの種類:
* DNSフィルターログ:
* DNSリクエストはマルウェア通信の一般的なベクトルです。DNSフィルターのログを分析することで、マルウェアがコマンドアンドコントロール（C2）サーバーとの通信を試みている可能性を示す、疑わしいドメインクエリを特定するのに役立ちます。
参考: DNSフィルタリングに関するFortinetのドキュメント FortiOS DNSフィルタ
IPS ログ:
侵入防止システム（IPS）ログは、エクスプロイトの試みや悪意のあるアクティビティを検知・ブロックします。これらのログは、検出された侵入の試みや既知の攻撃パターンに一致する動作に基づいて、侵害されたホストを特定するために不可欠です。
参考資料: Fortinet IPS 概要 FortiOS IPS
Web フィルターログ:
Webフィルタリングログは、Webコンテンツへのアクセスを監視および制御します。これらのログは、悪意のあるWebサイトへのアクセス、マルウェアのダウンロード、その他のWebベースの脅威を明らかにし、侵害されたホストの存在を示唆します。
参考資料: Fortinet Web フィルタリング FortiOS Web フィルタ
他のログタイプを使用しない理由:
電子メールフィルターログ:
フィッシングや電子メールベースの脅威を検出するために重要ですが、DNS、IPS、Web フィルターのログほど侵害されたホストを直接示すものではありません。
アプリケーションフィルターログ:
これらのログはアプリケーションの使用状況を制御しますが、選択されたログと比較して、侵害されたホストを直接示す可能性は低くなります。
詳細なプロセス:
ステップ 1: FortiAnalyzer は FortiGate およびその他の Fortinet デバイスからログを収集します。
ステップ 2: DNS フィルターログを分析して、異常なドメインクエリや悪意のあるドメインクエリを検出します。
ステップ 3: 侵入の試みや疑わしいアクティビティがないか、IPS ログを確認します。
ステップ 4: Web フィルターログをチェックして、悪意のある Web サイトやダウンロードへのアクセスがないか確認します。
ステップ 5: FortiAnalyzer はこれらのログからの情報を相関させて、潜在的な IoC と侵害されたホストを特定します。
参考文献:
Fortinet ドキュメント: FortiOS DNS フィルター、IPS、および Web フィルターの管理ガイド。
FortiAnalyzer 管理ガイド: ログ分析と IoC 識別の詳細。
FortiAnalyzer は、DNS フィルターログ、IPS ログ、Web フィルターログを使用して、侵害の可能性があるホストを効果的に識別し、脅威の検出と対応のための重要な洞察を提供します。

NSE7_SOC_AR-7.6 試験問題 11

NSE7_SOC_AR-7.6 試験問題 12

NSE7_SOC_AR-7.6 試験問題 13

NSE7_SOC_AR-7.6 試験問題 14

NSE7_SOC_AR-7.6 試験問題 15

PDFファイルをダウンロード