セクション: ボリューム D

は間違いです。リスクは最終的には登録簿に追加されるかもしれませんが、最善の答えは
まず監視対象としてウォッチリストに追加します。

説明/参照:
Explanation:
リスク イベントが発生した場合、それに対応するために次のタスクを実行する必要があります。
インシデント対応計画を維持する

リスクを監視する

インシデント対応を開始する

リスクイベントから学んだ教訓を伝える

誤った回答:
C: リスク レジスタは、適切なリスク対応を適用した後、およびリスク イベントの発生時に更新されます。

は正しくありません。リカバリ テストは、冗長性またはバックアップ制御が効果的に機能していることを示す直接的な証拠です。間接的な情報は提供されません。

侵入検知システム (IDS) は、ネットワーク トラフィックとデバイスを監視して、既知の悪意のあるアクティビティ、疑わしいアクティビティ、またはセキュリティ ポリシー違反を検出するネットワーク セキュリティ ツールです1。IDS は潜在的な脅威を検出するとアラートを生成できますが、すべてのアラートが正確または適切であるとは限りません。IDS のパフォーマンスと信頼性に影響を与える可能性のあるエラーには、誤検知と誤検知の 2 種類があります2。
* 誤検知とは、IDS が無害または通常のアクティビティを悪意のあるものまたは疑わしいものとして誤ってフラグ付けすることです。
たとえば、IDSは正当なネットワークスキャンや無害なソフトウェアアップデートに対して警告を発することがあります。誤検知はセキュリティチームに負担をかけ、IDSの信頼性と効率を低下させる可能性があります。
* 不要なアラートにより、実際の脅威から注意をそらし、IDS3 を無視したり無効にしたりします。
* 偽陰性とは、IDS が悪意のあるまたは疑わしいアクティビティをそのようにフラグ付けできない場合です。たとえば、IDS は、既知のシグネチャやパターンに一致しないステルス攻撃や新しい攻撃を見逃す可能性があります。偽陰性により、攻撃者が IDS をバイパスして、検出されることなく損害を与えたりデータを盗んだりできるため、ネットワークのセキュリティと整合性が損なわれる可能性があります4。
リスク担当者は、誤検知を最小限に抑えるためにアラートを分析することを推奨する必要があります。これは、IDS の精度と有用性を向上させる最善の方法だからです。アラートを分析することで、リスク担当者は次のことが可能になります。
* 誤って設定された、または古い IDS ルール、ネットワークの異常、または悪意のあるトラフィックに似ている正当なトラフィックなど、誤検知の発生源と原因を特定します5。
* 警告しきい値、感度レベル、検出方法、ルール ベースなどの IDS 設定を調整または微調整して、誤検出のリスクを増やすことなく誤検出の数を減らします。
* ログ、ネットワーク トラフィック分析、脅威インテリジェンスなどの他の情報ソースを使用してアラートを検証または確認し、アラートが真陽性または誤検知であるかどうかを確認します。
* アラートの重大度、影響度、または可能性に基づいてアラートを優先順位付けまたは分類し、最も重要なアラートまたは関連性の高いアラートに重点を置き、アラート疲れを回避します。
その他のオプションは、以下の理由により最善の策ではありません。
* ピーク トラフィックに基づいてアラートしきい値をリセットすることは、誤検知を最小限に抑える信頼できる効果的な方法ではありません。誤検知のリスクも高まる可能性があるためです。アラートしきい値は、IDS からアラートをトリガーするアクティビティまたは逸脱のレベルです。しきい値の設定が高すぎると、IDS はしきい値を下回る悪意のあるアクティビティや疑わしいアクティビティを見逃す可能性があります。しきい値の設定が低すぎると、IDS はしきい値を超える正常または無害なアクティビティに対して過剰なアラートを生成する可能性があります。最適なしきい値は、ネットワーク サイズ、トポロジ、トラフィック量、ベースラインなどのさまざまな要因によって異なります。
ピーク トラフィックは、時間、曜日、季節によって変化する可能性があり、通常のまたは予想されるネットワーク動作を反映しない可能性があるため、最適なしきい値を示す適切な指標にはなりません。
* このシナリオでは、トラフィックを分析して誤検知を最小限に抑えることは主な問題でも目標でもありません。問題はアラートの数が少ないことではなく、アラートの数が多いことです。トラフィックを分析すると、IDS が見逃した可能性のある悪意のあるアクティビティや疑わしいアクティビティを特定できますが、誤検知の根本原因に対処したり、IDS のパフォーマンスを改善したりすることはできません。さらに、トラフィックの分析は、特に大規模または複雑なネットワークの場合、時間がかかり、リソースを大量に消費する可能性があり、リスク管理担当者が持っていない特殊なツールやスキルが必要になる場合があります。
* ネットワーク アナライザーを使用してトラフィックをスニッフィングすることは、ネットワークまたは組織のプライバシー ポリシーまたはセキュリティ ポリシーに違反する可能性があるため、このシナリオでは適切または実行可能なオプションではありません。トラフィックをスニッフィングするということは、ネットワーク上のデバイスによって送信または受信されるネットワーク パケットをキャプチャして検査することを意味します。ネットワーク アナライザーは、この機能を実行し、パケット データを読み取り可能な形式で表示できるツールです。ただし、トラフィックをスニッフィングすると、パケットに含まれている可能性のあるパスワード、ユーザー名、クレジットカード番号などの機密情報や秘密情報が漏洩する可能性もあります。したがって、トラフィックをスニッフィングするには、ネットワーク所有者またはユーザーからの承認または同意が必要になる場合があり、法律または規制によって制限または禁止されることがあります。
参考文献
* 侵入検知システム (IDS) とは何ですか? - IBM
* 侵入検知システム - Wikipedia
* 侵入検知システムとは? - MUO
* 2024 年の侵入検知システム (IDS) ソフトウェアのベスト 12 - Comparitech
* 侵入検知システム (IDS) とは何ですか? - Fortinet
* [侵入検知システムにおける誤検知と誤検知]
* [侵入検知システムにおける誤検知と誤検知]
* [IDS/IPS の誤検知を減らす方法]
* [IDS/IPS に適切なアラートしきい値を設定する方法]
* [ネットワーク トラフィック分析: その概要と仕組み]
* [ネットワーク アナライザーとは? - Techopedia からの定義]