SecOps-Pro 試験問題 16
APT(Advanced Persistent Threat)攻撃グループは、コマンドアンドコントロール(C2)通信にカスタム難読化PowerShellスクリプトを使用することが知られています。SOCは、Cortex XSIAMのデータ取り込み機能を活用し、PowerShellのコマンドライン引数とネットワーク接続を分析することで、これらのC2アクティビティを検出したいと考えています。XDRエージェントがエンドポイントに導入され、ネットワークログがネットワークデータコレクターを介して取り込まれる場合、プロセス実行用のデータセット「endpoint_exec」とネットワークデータ用のデータセット「network connection」を想定し、取り込まれたデータを最も効果的に活用して疑わしいPowerShell C2を特定するには、次のXQLクエリのうちどれが適切でしょうか?
SecOps-Pro 試験問題 17
セキュリティアナリストは、Cortex XSIAM における潜在的な内部脅威シナリオを調査しています。あるユーザーが、許可されていないクラウドストレージサービスを介してデータを流出させているのではないかと疑っています。SOC は、エンドポイントアクティビティ、プロキシサーバー、ファイアウォールログなど、様々なソースからログを受信しています。これを効果的に検知するために、必要なデータポイントの取り込みと相関分析を行う上で、Cortex XSIAM のどの機能が重要であり、その理由は?
SecOps-Pro 試験問題 18
ゼロデイ攻撃は、組織内で広く使用されているアプリケーションを標的とし、初期の侵入に成功しました。セキュリティチームは、Palo Alto Networksの次世代ファイアウォール(NGFW)を介して異常なネットワークトラフィックパターンを検知し、侵入されたホストを特定しました。NISTインシデント対応計画の「封じ込め」フェーズにおいて、ゼロデイ攻撃の性質を考慮し、影響範囲を限定しつつ重要な脅威インテリジェンスを収集するために、どの戦略的および戦術的アクションを優先すべきでしょうか?
(該当するものをすべて選択してください)
(該当するものをすべて選択してください)
SecOps-Pro 試験問題 19
Palo Alto Networks XSOAR をインシデント管理に使用しているセキュリティオペレーションセンター(SOC)は、毎日大量のアラートを受信します。アナリストは、潜在的なデータ漏洩に関連するインシデントの優先順位付けを任されています。以下のインシデント分類基準のうち、技術的な指標とビジネスへの影響の両方を考慮し、データ漏洩インシデントの正確な優先順位付けを最も効果的に促進できるのはどれですか?
SecOps-Pro 試験問題 20
高度な電子メールベースの攻撃が初期防御を回避し、悪意のあるペイロードを送り込みます。インシデントはCortex XSOARでトリガーされます。プレイブックは、次の処理を実行するように設計されています。1. すべての電子メールヘッダーと本文の内容を抽出する。2. サンドボックスで疑わしい添付ファイルをデトネーションする。3. 電子メールとサンドボックスの結果から、すべてのURLとファイルハッシュを抽出する。4. これらのIOC(侵入の痕跡)について、複数の外部脅威インテリジェンスフィード(VirusTotal、AlienVault OT Xなど)を照会する。5. いずれかのIOCが悪意のあるものであると確認された場合、電子メールセキュリティゲートウェイで送信者のメールアドレスをブロックし、プロキシで悪意のあるURLをブロックし、すべての受信トレイから元のメールを隔離する。プレイブックがサンドボックス統合でサポートされていない添付ファイルの種類に遭遇し、その結果、その特定の添付ファイルのハッシュが抽出されないものの、電子メールの他の部分と他の添付ファイルは正常に処理され、実行される場合、この特定の部分的な障害を適切に処理して調査を続行するために望ましい XSOAR プレイブックの設計を最もよく表しているのは次のうちどれですか。
