Professional Security Operations Engineer
Question 121
攻撃者が C2 通信に DNS トンネリングを使う可能性を仮説しています。このハンティングに最も有用な UDM フィールドはどれですか?
A.
network.dns.questions.name、network.dns.answers に加え、principal/target IP と sent_bytes / received_bytes。異常に長い DNS クエリや高ボリューム DNS トラフィックを探す。B.
metadata.product_name のみ。C.
security_result.action = ALLOW のみ。D.
target.user.userid のみ。Question 122
Applied Threat Intelligence が「Active Breach」とラベル付けされた IoC マッチを複数検出しました。このラベルは何を意味し、これらのアラートはどの優先度で対応すべきですか?
A.
Active Breach インジケータは Mandiant 脅威インテリジェンスに基づき現在進行中のキャンペーンで使われている IoC を指す。即時調査の最高優先度で対応すべき。B.
Active Breach は既に緩和された脅威の意味で、低優先度。C.
優先度を意味しない一般的なラベル。D.
Active Breach は非推奨の古いラベル。Question 123
ハントチームは攻撃者が Okta に対してパスワードスプレー攻撃を行った可能性があると考えています。最も適した YARA-L ルール構造はどれですか?
A.
$principal.hostname over の時間窓でマッチし、condition #targetUser > N とするマルチイベントルール(単一オリジンから多数の異なるユーザーが失敗するパターン検知)。B.
USER_LOGIN 成功イベントのみを探す単一イベントルール。C.
フィールドリネームを行うパーサー拡張。D.
ダッシュボードウィジェットのみ。Question 124
攻撃者が SMB 経由で横展開する可能性を仮説としたハントを検討中です。SecOps の強みを活かすハントアプローチはどれですか?
A.
principal.ip が内部ワークステーション、target.ip が通常見られないピアである SMB(port 445)接続を UDM クエリし、エンティティグラフで影響ユーザーにピボットする。B.
組織全体で SMB を無効化する。C.
syslog だけを手動で検査する。D.
横展開の検知は不要と仮定する。Question 125
ネットワークログで C2 ビーコニングパターンをハントしています。どのような特徴的パターンを探すべきですか?
A.
同一の内部ホストから同一の外部宛先に、一定の間隔(例: 60 秒ごと)で規則的・小ペイロードのアウトバウンド接続が続くパターン。B.
多数の異なる宛先へのランダムな大量バースト。C.
google.com への暗号化 HTTPS トラフィック。D.
SecOps コンソールの CPU 使用率の上昇。