「調査」ページの「ファイル」タブを使用すると、ユーザーは調査に関連するファイルをアップロード、ダウンロード、および表示できます。ユーザーは、ファイルのメタデータ、コンテンツ、ハッシュの分析など、さらに調査するために、爆発アクションからの出力を [ファイル] タブにアップロードできます。アクティブなケースにデータを入力できるデータ ソースは、[ファイル] タブの項目とアーティファクトだけではありません。ケースにはイベント、タスク、メモ、コメントも含めることができます。[ファイル] タブの項目は、ファイル追加アクション ブロックまたは [ファイル] タブの [ファイルの追加] ボタンを使用して調査に追加できます。ファイルは Phantom データベースに保存されるため、[Files] タブの使用状況に応じて Phantom のメモリ要件が増加する場合があります。
Splunk Phantom の「調査」ページの「ファイル」タブは、ユーザーが調査に関連するファイルを管理および分析できる領域です。ユーザーは、サンドボックス環境で潜在的に悪意のあるファイルを分析する「ファイルの爆発」アクションからの出力などのファイルをアップロードできます。[ファイル] タブを使用すると、ユーザーはこれらの出力を保存し、さらに調査することができます。出力には、生成された、または調査に関連するレポート、ログ、またはその他のファイル タイプが含まれる場合があります。[ファイル] タブは調査プロセスに不可欠な部分であり、分析や他のインシデント データとの関連付けのためにファイル データに簡単にアクセスできます。

説明
正解は A です。フィールド値に基づいて結果をフィルタリングするために _filter パラメータが使用され、大文字と小文字を区別しない部分文字列の一致を実行するために icontain 演算子が使用されるからです。filePath フィールドは Common Event Format (CEF) 標準の一部であり、REST API で CEF フィールドにアクセスするために cef_ プレフィックスが使用されます。答え B は、REST API に間違った構文を使用しているため、不正解です。答え C は、間違ったエンドポイント (アーティファクトではなく結果) と REST API の間違った構文を使用しているため、不正解です。答え D は、REST API の構文が間違っており、icontains 演算子のスペルが間違っているため、不正解です。
参照: Splunk SOAR REST API ガイド、18 ページ。

説明
phantom.debug() 関数は、Visual Playbook Editor のデバッグ ウィンドウにデバッグ情報を出力するために使用されるため、正解は A です。この関数は、Playbook のトラブルシューティングとテストに役立ちます。答え B は不正解です。ビジュアル プレイブック エディターのデバッグ ウィンドウに例外情報を出力するために phantom.Exception() 関数が使用されているからです。この関数は、Playbook でエラーや例外を処理する場合に役立ちます。答え C は不正解です。phantom.print() 関数は、Phantom サーバーの標準出力ストリームに情報を出力するために使用されます。この関数は、ログ記録や監査の目的に役立ちます。答え D は不正解です。phantom.assert() 関数は、条件が true か false かをチェックし、false の場合に例外を発生させるために使用されます。この関数は、Playbook の入力と出力を検証するのに役立ちます。参照: Splunk SOAR プレイブック開発ガイド、22 ページ。