SecOps-Pro 試験問題 76
ある大手製造会社は、ITネットワークから分離された重要なOT(オペレーショナルテクノロジー)ネットワークを運用しています。OTデバイスはインターネットへの直接アクセスが制限されている一方で、サプライチェーン攻撃やIT-OTコンバージェンスは重大なリスクをもたらします。既存のEDRはITエンドポイントに導入されていますが、独自のOTプロトコルや特殊な産業用制御システム内のイベントを監視・対応することはできません。このシナリオにおいて、Cortex XDRのどのような独自の機能が、他のPalo Alto Networks製品と組み合わせる際に重要となるでしょうか?
SecOps-Pro 試験問題 77
Cortex XSIAMでセキュリティインシデント「MalwareDetectedOnEndpoint」がトリガーされました。関連するプレイブック「P -malware-Response」
が開始されます。アナリストは、プレイブックによってエンドポイントの隔離は成功したものの、影響を受けたエンドポイントからのネットワーク接続の問題により、後続の「脅威インテリジェンスのファイルハッシュの取得」タスクが失敗したことを確認しました。次のタスク「脅威インテリジェンスプラットフォームの確認」は依存タスクです。このようなシナリオにおいて、回復力と効果的な進行を確保するために、最も適切なプレイブックの設計または運用上の考慮事項は何でしょうか?
が開始されます。アナリストは、プレイブックによってエンドポイントの隔離は成功したものの、影響を受けたエンドポイントからのネットワーク接続の問題により、後続の「脅威インテリジェンスのファイルハッシュの取得」タスクが失敗したことを確認しました。次のタスク「脅威インテリジェンスプラットフォームの確認」は依存タスクです。このようなシナリオにおいて、回復力と効果的な進行を確保するために、最も適切なプレイブックの設計または運用上の考慮事項は何でしょうか?
SecOps-Pro 試験問題 78
セキュリティエンジニアは、Windows Management Instrumentation (WMI) を悪用して PowerShell スクリプトをリモートで実行し、イベントログを即時に削除するという、新たなラテラルムーブメント手法を検出するためのカスタム Cortex XSIAM BIOC ルールを作成するという任務を負っています。BIOC は、WMI プロセス (wmiprvse.exe) が PowerShell プロセスを生成し、その PowerShell プロセスが 60 秒以内に同一ホスト上で「Clear-WinEventLog」を含むコマンドを実行した場合にインシデントをトリガーする必要があります。このような BIOC 定義の一部となる適切な XQL (Cortex Query Language) スニペットを選択してください。
SecOps-Pro 試験問題 79
Cortex XSIAM Playbook の重要な機能は、インシデントやインジケーターからコンテキストを活用できることです。インシデントは、「新しい地域からの稀なログイン」アラートに基づいてトリガーされます。関連するプレイブックでは、次の処理を実行する必要があります。1) ユーザーの人事データ(部門、マネージャーなど)でインシデントを拡充する。2) ユーザーが現在、その地域への承認済み出張中であるかどうかを確認する。3) そうでない場合は、多要素認証(MFA)チャレンジを開始する。適切な統合が構成されていることを前提として、Cortex XSIAM Playbook 内でエンリッチメントと条件付き MFA チャレンジを実現する方法を正しく示しているコードスニペットと概念的アプローチはどれですか?
SecOps-Pro 試験問題 80
SIEMによって重大な脆弱性の悪用試行が検出され、XSOARインシデントがトリガーされました。インシデントには、攻撃者のIPアドレス、脆弱なサービス、および影響を受けるホストが含まれています。プレイブックでは、以下の処理を実行する必要があります。
1. サードパーティの脅威インテリジェンス プラットフォーム (TIP) を使用して、攻撃者の IP の評判を検証します。
2. IP が悪意のあるものである場合は、境界ファイアウォールでブロックします。
3. 影響を受けるホストでエンドポイントフォレンジック収集を開始します。
4. IT サービス管理 (ITSM) システムで優先度の高いチケットを開きます。
5. XSOAR インシデント ウォー ルームへの直接リンクを含め、PagerDuty 経由でインシデント対応チームに通知します。
これらの要件を考慮すると、PagerDuty 通知にライブ XSOAR インシデント War Room リンクが含まれるようにするために最も重要な XSOAR プレイブック設計要素はどれですか。また、プレイブック タスク内でプログラム的にそれを実現するにはどうすればよいでしょうか。
1. サードパーティの脅威インテリジェンス プラットフォーム (TIP) を使用して、攻撃者の IP の評判を検証します。
2. IP が悪意のあるものである場合は、境界ファイアウォールでブロックします。
3. 影響を受けるホストでエンドポイントフォレンジック収集を開始します。
4. IT サービス管理 (ITSM) システムで優先度の高いチケットを開きます。
5. XSOAR インシデント ウォー ルームへの直接リンクを含め、PagerDuty 経由でインシデント対応チームに通知します。
これらの要件を考慮すると、PagerDuty 通知にライブ XSOAR インシデント War Room リンクが含まれるようにするために最も重要な XSOAR プレイブック設計要素はどれですか。また、プレイブック タスク内でプログラム的にそれを実現するにはどうすればよいでしょうか。
