SecOps-Pro 試験問題 51
セキュリティ監査担当者は、Cortex XSIAMの脅威検知機能が、新型マルウェアやポリモーフィック型マルウェアに対してどれほど有効であるか疑問視しています。監査担当者は特に、事前シグネチャのない脅威の検知において、XSIAMが従来のSIEMやEDRとどのように差別化できるかを尋ねています。監査担当者の懸念に対処する上で重要なXSIAMの機能は、次のうちどれですか?
SecOps-Pro 試験問題 52
APT(Advanced Persistent Threat)攻撃グループが、標的組織から機密性の高いデータを盗み出すことに成功しました。侵入後の分析により、攻撃者は高度に難読化されたカスタムPowerShellスクリプトを使用してデータを圧縮し、DNSクエリ(DNSトンネリング)を介して、一見正当なドメインに見せかけたドメインに徐々にデータを盗み出していたことが明らかになりました。エンドポイントプロセスログにはPowerShellによるCPU使用率の高さが記録されていましたが、Cortex XDRの行動分析機能は、この盗み出しフェーズで重大度の高いアラートをトリガーしませんでした。SOCチームは、今後の再発防止のため、行動分析の設定を見直しています。行動分析機能がこの特定の盗み出しを検知できなかった理由として最も考えられるのはどれですか?また、どのような調整を行えば検知率を大幅に向上させることができますか?(該当するものをすべて選択してください)
SecOps-Pro 試験問題 53
高度な内部脅威アクターは、正規のホワイトリストに登録されたチャネルを介して、暗号化された少量のデータを段階的に送信することで、検出を回避し、機密データを盗み出しています。アクターは、エンドポイント、クラウドストレージ同期クライアント、正規のSaaSアプリケーション上のPowerShellスクリプトを組み合わせて使用しています。Cortex XSIAMが導入されていますが、「ログスティッチング」では、一見無害で少量のイベントを、データ窃盗を示す信頼性の高いインシデントとして統合できないことがよくあります。このような段階的なデータ窃盗を検出する上で、XSIAMの高度なログスティッチング機能またはサポート機能のうち、最も重要なものはどれでしょうか?
SecOps-Pro 試験問題 54
一般的なブラウザを標的とした新たなゼロデイエクスプロイトが公開されました。SOCチームは、ベンダーからのパッチが公開される前に、潜在的なエクスプロイトの試みを特定するために、Cortex XSIAMにカスタム検出ルールを迅速に導入する必要があります。このエクスプロイトには、正規のブラウザアクティビティでは一般的ではない特定のAPI呼び出しシーケンスとメモリアクセスパターンが含まれています。効果的で誤検知率の低い検出を行うために、XSIAM内で以下のルールタイプと考慮事項のうち、最も適切なものはどれでしょうか?
SecOps-Pro 試験問題 55
ある組織は最近、インフラストラクチャの大部分をマルチクラウド環境(AWS、Azure)に移行しました。Cortex XDRからの重要なアラートは、AWSのEC2インスタンスから発生した「不正なAPIキーの使用」を示しており、その後、Azureサブスクリプションで異常なアクティビティが発生しています。SOCチームは、高度な技術を持つ攻撃者が認証情報を侵害し、複数のクラウド環境を切り替えて利用しているのではないかと疑っています。調査担当者として、侵害されたAPIキーを正確に特定し、AWSとAzureの両方でその使用状況を追跡し、特定のクラウド資産への影響を判断するために、Cortex XDRの機能をどのように活用すればよいでしょうか?

