SecOps-Pro 試験問題 31

複数のエンドポイントが侵害された大規模なセキュリティインシデントが検出されました。XSOARのインシデント対応プレイブックでは、次の作業を行う必要があります。1) EDRソリューションを使用して影響を受けたエンドポイントを隔離する。2) Jiraでアナリスト割り当て用の高優先度チケットを作成する。3) 隔離されたエンドポイントからフォレンジックアーティファクトを収集する。4) 分析中に特定された新しいIOC(侵入の痕跡)を使用して、脅威インテリジェンスプラットフォーム(TIP)を更新する。この複雑な複数システムへの自動対応を実行するために不可欠なXSOARの機能と統合機能は、次のうちどれですか?また、どのような課題が生じる可能性がありますか?
  • SecOps-Pro 試験問題 32

    インシデント対応活動中、フォレンジック調査員は、ポート53(DNS)経由でカスタムコマンドアンドコントロール(C2)プロトコルを使用する執拗な脅威アクターを発見しました。既存のSIEMログには、一般的なDNSクエリしか記録されていません。C2インフラ、エクスプロイトの開発、動機など、攻撃者のTTP(戦術、手法、手順)を包括的に把握し、将来の攻撃を積極的に阻止するためには、どのようなリソースの組み合わせが最も効果的でしょうか?
  • SecOps-Pro 試験問題 33

    SOCマネージャーは、脅威検出機能の現状を見直しています。SIEMは「ポートスキャン」イベントのアラートを頻繁に生成していますが、その多くはIT運用ツールによる無害なネットワークスキャンであり、高い誤検知率につながっていることに気づきました。そこで、Palo Alto Networks SIEM(例:Palo Alto Networksアドオンを搭載したSplunk)とCortex XDRを組み合わせてこれらの検出精度を向上させ、真に悪意のあるポートスキャンと関連アクティビティを特定するための行動ベースのアプローチに移行したいと考えています。
    特定の機能を活用した以下の戦略のうち、どれが最も効果的でしょうか?
  • SecOps-Pro 試験問題 34

    インシデント対応活動において、セキュリティチームは侵害を受けたエンドポイントがDNSトンネリングを介してデータを盗み出そうとしていることを特定しました。この手法は、従来のシグネチャでは検出が困難な場合が多くあります。Cortex XSIAMの機能、特にデータの取り込み、処理、ルール適用といったアプローチが、この高度な攻撃の検出と調査をどのように促進するのか、そしてスタンドアロンのDNSファイアウォールよりも効果的な理由についてご説明ください。
  • SecOps-Pro 試験問題 35

    脅威インテリジェンスチームは、新たな難読化手法を用いて特定の業界セクターを標的とする新たなAPTグループに関するレポートを作成しました。このレポートには、IOC(侵入の痕跡)とTTP(戦術、手法、手順)が含まれています。このインテリジェンスを組織のインシデント分類および優先順位付けプロセスにどのように統合すれば、その効果を最大化できるでしょうか?