Professional Security Operations Engineer
Question 126
過去 30 日間にいずれかの内部ホストが最近登録されたドメイン(直近 7 日以内登録)と通信したか迅速に特定したいと考えています。最も適した SecOps 機能はどれですか?
A.
network.dns.questions.name をフィルタする UDM 検索と、WHOIS エンリッチ済みの最近登録ドメイン参照リストを組み合わせ、30 日分のデータに対して実行する。B.
Curated Detections のみに頼る。C.
SOAR Playbook アラートを使う。D.
Mandiant に調査を依頼する。Question 127
ハント中、特定の疑わしい IP に関連する全エンティティ(通信先ホスト、ホスト上のアクティブユーザー、関与プロセス)を見たいと考えています。SecOps のどの機能が提供しますか?
A.
エンティティ間の関係性を可視化し、調査のためのピボットを可能にするエンティティグラフ。B.
Raw Log Search のみ。C.
SOAR Case Wall。D.
Cloud Audit Logs。Question 128
脅威インテリジェンスレポートが金融業を標的とした APT グループの特定 TTP を特定しました。あなたは金融業で働いており、プロアクティブにハントしたいと考えています。最も効果的な第一歩は何ですか?
A.
TTP を MITRE ATT&CK の技術にマッピングし、UDM ベースの仮説に翻訳し、YARA-L ルールを作成して retrohunt を実行する。B.
全インターネット公開システムをシャットダウンする。C.
Mandiant からの連絡を待つ。D.
全ユーザーのパスワードを変更する。Question 129
15,000 エンティティを含む Watchlist を構成したところエラーになりました。考えられる原因は何ですか?
A.
1 つの Watchlist は最大 10,000 エンティティまで。複数の Watchlist に分割する必要がある。B.
Watchlist はユーザーエンティティのみでホストは受け付けない。C.
Watchlist は Enterprise Plus でのみ利用可能。D.
先に YARA-L ルールを無効化する必要がある。Question 130
認証情報の悪用をハントする有効な手法を 2 つ選択してください(2 つ選択してください)。
A.
不可能な地理移動の検出(短時間に地理的に遠い地点からのログイン)。B.
UEBA カテゴリで特権アカウントによる新規デバイスからのログインを検出する。C.
SecOps UI アクセスを 24 時間遮断する。D.
全ワークステーションを再起動する。