SecOps-Pro 試験問題 1

セキュリティアナリストは、反射型DLLインジェクションを利用し、その後C2通信用の名前付きパイプを作成することが知られている特定のマルウェアファミリの脅威ハンティングを行っています。アナリストは、このハンティングにCortex XDRのログスティッチングを活用したいと考えています。必要なデータソースが取り込まれていると仮定した場合、このような複雑なイベントチェーンを特定するために、基盤となるスティッチングされたログデータを最も効果的に活用できるAQL(XDRクエリ言語)クエリはどれでしょうか?
  • SecOps-Pro 試験問題 2

    組織は、高度な多段階攻撃に見舞われています。最初の侵害によって認証情報が窃取され、その後PowerShellを使用したラテラルムーブメントが行われます。攻撃者は、エンコードされたPowerShellコマンドを利用して、従来のシグネチャベースの検出を回避しています。Cortex XSIAMセキュリティ運用プロフェッショナルとして、疑わしいエンコードされたPowerShell実行を高い信頼度で識別し、誤検知を最小限に抑え、通常のアクティビティのベースラインを侵害した際にアラートをトリガーするカスタム検出ルールを作成する必要があります。XQL、ルールタイプ、集計ロジックのどの組み合わせが最も適切でしょうか?
  • SecOps-Pro 試験問題 3

    あるグローバル企業はCortex XSIAMを実装し、エンドポイントセンサー(XDRエージェント)、ネットワークファイアウォール、クラウドインフラストラクチャ(AWS CloudTrail、Azure Activity Logs)、アイデンティティプロバイダー(Okta)など、さまざまなソースからログを取り込み始めています。セキュリティチームは、基本的なイベント相関は機能しているものの、クラウドとオンプレミスのインタラクションを含むインシデントのステッチ精度が期待よりも低いことに気づきました。具体的には、XSIAMの「インシデントビュー」には、統一された攻撃ストーリーではなく、関連するアクティビティ(例:ユーザーがOktaにログインし、次にEC2インスタンスにアクセスし、次にオンプレミスサーバーで疑わしいファイルにアクセス)に対して個別のアラートが表示されることがよくあります。ステッチ精度の低下の原因として最も可能性が高いのは次のどれですか?また、XSIAM内でどのような設定調整を行うことで、この問題を解決できますか?
  • SecOps-Pro 試験問題 4

    あるグローバル金融機関が、高度な多段階攻撃に見舞われています。最初の偵察活動ではフィッシングが使用され、エンドポイントへの侵入に至りました。その後、攻撃者は正規の管理ツール(LOLBin)を使用してラテラルムーブメント(水平展開)を行い、機密データを盗み出しました。既存のEDRソリューションは、いくつかの疑わしいプロセスに対してアラートを発しましたが、これらの個別のイベントを一貫した攻撃の記録として関連付けるのが困難で、アラート疲れと対応の遅延につながっていました。スタンドアロンのEDRと比較して、このシナリオに最も効果的に対処できるCortex XDR機能は、次のうちどれですか?
  • SecOps-Pro 試験問題 5

    ある組織は、セキュリティオーケストレーション、自動化、そしてレスポンスのために、Palo Alto Networks Cortex XSOARに大きく依存しています。ランサムウェアが関与する大規模なインシデントにより、複数の部門にまたがる重要データが暗号化されました。駆除フェーズにおいて、インシデント対応チームは、ランサムウェアが残した永続化メカニズムを削除し、復号ツールを配布するためのカスタムスクリプトを展開する必要があります。このスクリプトは、影響を受けた数百のエンドポイントで実行する必要があります。このタスクに最も適した効率的なXSOARプレイブックコマンドまたは統合はどれでしょうか?