Explanation:
1. 子プレイブックにパラメータを作成します。
2. 「ユーザー アカウントの無効化」コネクタ アクションにパラメーターを適用します。
3. 親プレイブックの「プレイブックの参照」ステップのパラメーターにデータをマップします。
FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSOAR 7.6では、プレイブック間でデータを渡す方法、具体的には親から子へデータを渡す方法が
「参照される」(子) プレイブック - 厳密なデータ フロー階層に従います。
* ステップ1：子プレイブックにパラメータを作成します。親プレイブックがデータを送信する前に、子プレイブックがデータを受信できるように設定する必要があります。これは、子プレイブック（「参照」トリガーとして設定）の「開始」ステップに「入力パラメータ」を追加することで実現します。これらのパラメータは、外部データの「受信トレイ」として機能します。
* ステップ 2: コネクタ アクションにパラメーターを適用します。子プレイブックにパラメーター (user_id など) が定義されたら、子プレイブックが実際に受信したデータを利用するように、子のアクション ステップ (Active Directory: ユーザー アカウントの無効化コネクタなど) 内で {{vars.input.params.user_id}} などの Jinja 式を使用する必要があります。
* ステップ 3: 親プレイブックのパラメータにデータをマッピングします。最後に、親プレイブックで「プレイブックの参照」ステップを追加し、子プレイブックを選択すると、FortiSOAR によってステップ 1 で作成されたパラメータが自動的に表示されます。次に、親の環境の既存の変数 (以前の「SamAccountName で検索」ステップなど) をこれらのフィールドにマッピングして、ハンドオフを完了します。
他のオプションが除外される理由:
* 手動トリガーを作成し、ユーザーを新しい変数に割り当てます。手動トリガーはデータをキャプチャしますが、ネストされたプレイブック間でデータを渡すためのメカニズムではなく、ユーザーとシステムの対話を目的としています。
* 親プレイブックにパラメータを作成します。親プレイブックのパラメータは、外部APIや手動入力など外部からデータを受信するために使用されます。子プレイブックにデータを送信するために使用されるわけではありません。子プレイブックで必要なパラメータを定義し、親プレイブックは参照ステップでパラメータを提供するだけです。

* コレクター2.ワーカー3.スーパーバイザー4.エージェント
* FortiSIEM 7.3 アーキテクチャは、スケーラビリティとパフォーマンスを確保するために、いくつかの異なる機能的役割で構成された分散マルチテナント モデルに基づいて構築されています。
* スーパーバイザ：FortiSIEMクラスタのプライマリ管理ノードです。グラフィカルユーザーインターフェース（GUI）と構成管理データベース（CMDB）をホストし、システム全体の構成、レポート、ダッシュボードを管理します。
* ワーカー：これらのノードは、データ処理の重労働を担います。ルールエンジンとのリアルタイムイベント相関分析、履歴検索クエリの実行、そして分析ワークロードの処理を行い、スーパーバイザーノードの負荷を軽減します。
* コレクター：コレクターは通常、中央クラスタのログ収集負荷を軽減するために、リモートサイトまたは別のネットワークセグメントに導入されます。Syslog、SNMP、またはWMI経由でログを受信し、データを圧縮して、ワーカーまたはスーパーバイザーに安全に転送します。また、ローカルデバイスのパフォーマンス監視も行います。
* エージェント:エンドポイント（Windows）に直接インストールされる軽量のソフトウェアコンポーネントです。
/Linux)。主な役割は、ローカル エンドポイント ログを収集し、ファイルの整合性 (システムの変更) を監視し、従来のネットワークベースのログではキャプチャできないユーザー アクティビティを追跡することです。

FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSIEMルールエンジンは、サブパターンを評価して複雑な攻撃行動を検出します。ルールがCOUNT（一致したイベント）などの集計条件を使用する場合、エンジンは特定のアーキテクチャパラメータに基づいてこの値を計算します。
* グループ化属性（A）：エンジンは、各属性の組み合わせごとに個別のカウンターを保持します。
サブパターンで定義された「グループ化」属性。例えば、「送信元IP」でグループ化した場合、エンジンは各IPアドレスのイベント数を個別に追跡します。
* 時間ウィンドウ (C): カウントは特定の時間間隔（例: 5分）を基準とします。エンジンは、このスライドウィンドウまたは固定ウィンドウ内に収まるイベントのみをカウントします。イベントがこのウィンドウから外れると、集計カウントには含まれなくなります。
* 検索フィルター (D): 特定の「検索フィルター」基準 (例: イベントタイプ = 「ログイン失敗」) を満たすイベントのみが「一致したイベント」とみなされます。このフィルターは、ルールエンジンがカウントを適用する前に処理するデータの範囲を定義します。
他のオプションが間違っている理由:
* データ ソース (B): データ ソースはログの取得元を決定しますが、ルール エンジン自体は、生のデータ ソースではなく、解析された属性 (検索フィルターで定義) を使用してカウントを決定します。
複数のデータ ソースが同じフィルターとカウントに寄与する場合があります。
* インシデントアクション (E): インシデントアクション（メールの送信やSOARプレイブックのトリガーなど）は、ルールの実行結果です。評価フェーズにおける内部ロジックやイベント数の計算には影響しません。

FortiSOAR 7.6、FortiSIEM 7.3 Exact Extract 学習ガイドからの包括的かつ詳細な説明:
FortiSOAR 7.6では、プレイブックエンジンは強力なJinjaフィルターのipaddrファミリー（Ansible netaddrライブラリから派生）を利用してネットワークデータを操作します。パブリックIPv6アドレスを混合リストから分離するために、フィルターチェーン内の操作順序によって正しいデータが抽出されます。
* 二重フィルタリングシーケンス (B): 式 {{ vars.ip_list | ipaddr('public') | ipv6 }} において、最初のフィルタ ipaddr('public') はリスト全体を処理して、IPv4 と IPv6 の両方のバージョンを含むパブリックアドレスのみを保持します。パイプ内の 2 番目のフィルタ | ipv6 は、そのパブリックアドレスのサブセットを取得し、IPv6 標準に準拠するものだけを保持するように再度フィルタリングします。最終結果は、パブリック IPv6 アドレスのみを含むリストです。
* バージョン優先フィルタリング (D): 式 {{ vars.ip_list | ipv6 | ipaddr('public') }} では、ロジックは逆になりますが、効果は同じです。最初のフィルター | ipv6 は、リストからすべての IPv4 および非 IP 文字列を即座に削除し、IPv6 アドレス（プライベートとパブリックの両方）のみを残します。後続のフィルター | ipaddr('public') は、これらの IPv6 アドレスを評価し、プライベート/ユニークローカル範囲（ULA やリンクローカルなど）に該当するものを破棄します。結果として、同じパブリック IPv6 アドレスのセットが生成されます。
他のオプションが間違っている理由:
* A (ipv6addr 'public'): ipv6addr は多くの Ansible 環境で有効なフィルターですが、手動タスク作成およびデータ操作に関する FortiSOAR の標準ドキュメントでは、主に、SOAR エンジンで使用される基礎となる Python ライブラリとの相互互換性を確保するために、特定のフラグまたは連鎖バージョン フィルター (| ipv6 など) を指定した汎用 ipaddr フィルターの使用を強調しています。
* C (!private構文):ipaddrフィルタは、分類に特定のキーワードを使用します。「非プライベート」は論理的な要件ですが、フィルタは「パブリック」「プライベート」「マルチキャスト」などの肯定的なアサーションを期待します。
!private 構文は、Fortinet SOC エコシステム内のこのフィルターではサポートされておらず、文書化もされていない演算子です。

* MITRE ATT&CKマトリックスを理解する:
* MITRE ATT&CK フレームワークは、現実世界の観察に基づいた敵対者の戦術と手法に関する知識ベースです。
* マトリックス内の各戦術は攻撃手法の「理由」を表し、各手法は敵が戦術を達成する「方法」を表します。
* 提供された展示物の分析:
* この展示は、FortiAnalyzer に表示される MITRE ATT&CK Enterprise マトリックスの一部を示しています。
* 焦点は、T1071.001、T1071.002、T1071.003、および T1071.004 というラベルの付いたサブテクニックを持つテクニック T1071 (アプリケーション層プロトコル) にあります。
* 各サブテクニックは、コマンド アンド コントロール (C2) に使用される異なるタイプのアプリケーション層プロトコルを指定します。
* T1071.001 ウェブプロトコル
* T1071.002 ファイル転送プロトコル
* T1071.003 メールプロトコル
* T1071.004 DNS
* 重要なポイントの特定:
* T1071 のサブテクニック: プライマリテクニック T1071 の下に 4 つのサブテクニックがリストされており、ステートメント B が正しいことが確認されています。
* T1071のイベントハンドラ：FortiAnalyzerには、様々な戦術や手法を監視するためのイベントハンドラが含まれています。戦術T1071のイベントハンドラが存在することは、これらの特定のサブ手法に対するアクティブな監視とアラートが行われていることを示唆しており、記述Cが真であることを裏付けています。
* 誤解を解く:
* ステートメント A (戦術 T1071 の 4 つのテクニック) は、T1071 が 4 つのサブテクニックを持つ単一のテクニックであるため、正しくありません。
* 記述D（戦術に関連するイベントが15件）は誤解を招く恐れがあります。15という数字は、アプリケーション層プロトコルの技術を指しており、イベント数とは直接関係がありません。
結論：
* 展示品の正確な解釈により、テクニック T1071 の下に 4 つのサブテクニックがあり、戦術 T1071 をカバーするイベント ハンドラーがあることが確認されます。
参考文献:
MITRE ATT&CK フレームワークのドキュメント。
FortiAnalyzer イベント処理および MITRE ATT&CK 統合ガイド。