このシナリオでは、外部データポイント（インスタンス作成時間）に結び付けられた時間ベースの条件が必要ですが、XSIAM のネイティブ除外ロジックでは、除外評価時の動的な時間計算を直接サポートしていません。オプション C が最も実用的かつ効果的なソリューションです。Cortex XSOAR プレイブックはアラートを受信し、クラウドプロバイダーの API からのリアルタイムデータ（インスタンス作成タイムスタンプ）でそれを強化した後、1 時間ロジックを適用できます。これにより、単純な XSIAM 除外の範囲を超えた、動的でコンテキストを考慮した意思決定が可能になります。オプション A は、除外ロジックで直接使用できる非標準フィールドに依存していますが、これは通常、その方法では利用または導出できません。オプション B は、外部データエンジニアリングを必要とするルールの変更です。オプション D は、「_time」フィールドに直接適用される時間ベースの抑制を提案していますが、これはインスタンス作成などの外部イベントを基準とした動的な期間に対する XSIAM の抑制ルールの通常の機能とは異なります。オプション E は範囲が広すぎて、すべてのルールに重大な盲点が生じます。

このシナリオは、GPO によって強化された Windows 環境でよく見られる、非常に特殊な環境主導の干渉を示しています。A: GPO によって強制されるファイル システムのアクセス許可または AppLocker ポリシーが、原因である可能性が非常に高いです。AppLocker は実行可能ファイルや DLL (コンテンツ更新の一部) の実行や書き込みを阻止することができ、GPO はファイル システムへのアクセスを制限することができます。これは、エージェントがコンテンツを更新する能力に直接影響します。B: Windows Defender のリアルタイム保護は、XDR Agent 自体がセキュリティ製品であっても、干渉する可能性があります。新しくダウンロードされたコンテンツ ファイルを疑わしいとフラグ付けして隔離し、更新を阻止する可能性があります。除外を確認することは重要なステップです。E: XDR Agent のサービス アカウント権限は非常に重要です。XDR Agent が実行されるサービス アカウントに、独自のインストール ディレクトリ内またはコンテンツ更新に必要なその他のシステムの場所にあるファイルを変更する権限がない場合、更新は失敗します。GPO は、これらの権限を誤って剥奪する可能性があります。 C (ディスク領域) と D (ネットワーク接続) は一般的なトラブルシューティング手順ですが、特定の GPO がネットワーク スタック構成またはドライブ クォータに影響していない限り、一貫したネットワーク セグメント内のサーバーの「特定のサブセット」に選択される可能性は低くなります。これはコンテンツの更新ではあまり一般的ではなく、通常は異なるエラー メッセージが生成されます。

オプション E は、XSIAM で分散環境全体で NTLMv1 を検出するための最も包括的かつ効果的なアプローチです。これは、「union」演算子を利用して、さまざまな関連データセットのデータを結合します。は明示的な認証プロトコルの詳細に最適であり、ネットワークレベルの検出（NTLMv1 でディープ パケット インスペクション シグネチャが利用可能な場合、または多くの場合 NTLMv1 の使用を示唆する関連する SMBv1 トラフィックなど）からの洞察も提供します。このマルチソース相関により、より堅牢で包括的な画像が得られます。オプション A は範囲が広すぎて非効率的です。オプション B は特定の「authentication_version」フィールドを想定していますが、このフィールドはすべての認証ログに均一に存在するとは限りません。オプション C は特定のネットワーク シグネチャのみに依存していますが、これはすべての NTLMv1 シナリオで常に実行されるとは限らず、利用できるとも限りません。オプション D は失敗のみに焦点を当てているため、成功した NTLMv1 認証を見逃す可能性があります。

これは複数回答の質問です。B と E はどちらも、信頼性、パフォーマンス、低レイテンシの取り込みを実現する優れた選択肢です。オプション B: XSIAM HTTP データコレクターへの直接ストリーミングは、リアルタイムデータに非常に効率的です。重要なのは、外部デコーダーが堅牢なエラー処理 (再試行、指数バックオフ) を実装し、XSIAM の取り込み速度制限を遵守して、データ損失やサービスの低下を防ぐ必要があることです。これにより、中間ストレージをバイパスし、直接通信が可能になります。オプション E: Kafka などのメッセージキューを使用すると、スケーラビリティと耐障害性に優れたバッファが導入されます。Kafka は、XSIAM の取り込みで一時的な問題やバックログが発生しても、メッセージが失われないようにします。XSIAM Kafka データコレクターは、このキューから確実にデータを取り込みます。これにより、復元力が得られ、バーストデータを効果的に処理できます。オプション A は、ファイルシステム操作とポーリング間隔により、不要なレイテンシが発生します。オプションCは可能性として考えられますが、カスタムフォーマットには直接JSONよりもCEFの方が適しており、syslogにはオーバーヘッドが発生する可能性があることを前提としています。オプションDは一般的に実現可能ではありません。XSIAMデータフローは、パフォーマンスとセキュリティ上の理由から、イベントごとに任意の外部バイナリを実行するのではなく、XSIAM環境内でのストリーム処理用に設計されています。

オプションBは、最大の回復力と特異性を提供します。特定の「ネットワークスキャン検出」ルールに結び付けられた直接的な「除外」を作成することで、除外ロジックがルール自体と緊密に連携されます。複数のフィールド（送信元IP、宛先ポート、およびカスタムアプリケーションプロトコル）を組み合わせることで、非常に正確なフィルターを作成できます。これを「永続的」（または有効期限なし）としてマークすると、ルールの内部ロジックを変更するのではなく、特定のイベント特性に基づいてルールの出力に除外が適用されるため、ルールの更新後も確実に保持されます。オプションAはルールを変更するため、保守性が低くなります。オプションCは事後対応的です。オプションDは範囲が広すぎます。オプションEは有効な方法ですが、ルール生成後にアラートを抑制するよりも、ルールに直接「除外」を設定する方が一般的には推奨されます。これは、ルール評価段階で誤検知を防ぐためです。