SecOps-Pro 試験問題 41

レッドチームの演習中、ペネトレーションテスターは、Living-Off-The-Landバイナリ(LoLBin)とポリモーフィック型マルウェアを用いて初期検知を回避することに成功しました。アクティビティには、rund1132.exeによる悪意のあるDLLの実行、certutil.exeによるデータダウンロード、そしてschtasks.exeによる永続性確立が含まれます。いずれのアクティビティも、高重大度アラートをトリガーしません。Cortex XDRにおけるログスティッチングと分析の原則のうち、この攻撃チェーンを統合インシデントとして特定する上で最も役立つものはどれでしょうか?
  • SecOps-Pro 試験問題 42

    Cortex XDRのユーザーおよびエンティティ行動分析(UEBA)によって、ある著名な役員のワークステーションで不審なアクティビティが検出されました。アクティビティには、1) ユーザーにとって通常とは異なる位置情報からのログイン、2) ユーザーがほとんどアクセスしないSharePointサイト上の機密ファイルへのアクセス、3) 個人用クラウドストレージサービスへの大量データのダウンロード試行が含まれます。直接的なマルウェアアラートはトリガーされませんでした。Cortex XDRのUEBAコンポーネントがこれらの異なる「関心イベント」を統合して高精度アラートを生成する仕組みを正確に説明している記述は次のうちどれですか?また、その基本原理は何ですか?
  • SecOps-Pro 試験問題 43

    レッドチーム演習中、攻撃者は一般的なブラウザのゼロデイ脆弱性を悪用して組織のEDRを迂回することに成功し、その後、未公開の手法を用いてプロセスホロウイングを実行し、正規のシステムプロセスにシェルコードを挿入しました。EDRは既知のシグネチャと一般的な行動パターンに依存していたため、この非常に回避性の高い攻撃を見逃してしまいました。「Prevention First」アプローチの一環として、Cortex XDRの検出エンジンのどの特性が、事前のシグネチャがなくても、このような高度で回避性の高い脅威を検知・防御できた可能性が高いでしょうか?
  • SecOps-Pro 試験問題 44

    ある大企業では、Cortex XSIAM と直接連携する API がない、カスタムビルドの特権アクセス管理 (PAM) ソリューションを使用しています。セキュリティチームは、XSIAM が侵害されたアカウントからの不審なログイン試行を検知した場合、特権認証情報の一時的な失効を自動化したいと考えています。そのためには、PAM システムの Web UI と連携するための Python スクリプトが必要です。直接連携する API がないことを考慮すると、Cortex XSIAM 内でこの自動化をどのように設計すればよいでしょうか?
  • SecOps-Pro 試験問題 45

    SOCアナリストは、カスタムマルウェア亜種が関与する複雑な攻撃を調査しています。EDRは複数の疑わしいプロセスインジェクションとネットワーク接続を検出しましたが、マルウェアの起源、関連するユーザーアカウント、ネットワークを介したラテラルムーブメントに関する完全なコンテキストを提供できませんでした。アナリストは、詳細なフォレンジック分析を実施し、脅威を迅速に封じ込める必要があります。EDRが提供する可能性のある次のKQLクエリについて考えてみましょう。

    この EDR レベルのクエリを超えて、Cortex XDR の次の機能のうちどれが、この調査と対応において SOC アナリストに大きく役立ちますか? (該当するものをすべて選択してください)