2024 FCSS_SOC_AN-7.4試験問題集とPDFテストエンジンで簡単に合格する[Q22-Q41]。

* FortiAnalyzer のインシデント作成を理解する：
* FortiAnalyzerでは、インシデントを作成してセキュリティイベントを追跡および管理できます。
* インシデントは、検出されたイベントと事前に定義されたルールに基づいて、自動および手動の両方で作成することができます。
* 方法を分析する：
* オプションA: コネクタ アクションを使用するには、通常、他のシステムまたはサービスとの統合が必要であり、FortiAnalyzerでインシデントを作成する直接的な方法ではありません。
* オプションB：インシデントは、関連するイベントを選択し、それらのイベントからインシデントを作成することにより、イベント・モニター・ページで手動で作成できます。
* オプションC：プレイブックは応答とアクションを自動化できますが、インシデントの直接作成は通常、イベントハンドラまたは手動プロセスによって管理されます。
* オプションD：特定のイベントまたは条件に基づいてインシデントの作成をトリガするカスタム イベント ハンドラを構成し、FortiAnalyzer内のプロセスを自動化できます。
* 結論
* FortiAnalyzerでインシデントを作成する2つの有効な方法は、イベント モニター ページで手動で作成する方法と、カスタム イベント ハンドラを使用する方法です。
参考文献
* FortiAnalyzer のインシデント管理に関する Fortinet のドキュメント。
* FortiAnalyzer イベント処理およびカスタマイズ ガイド。

* オートメーションステッチの概要フォーティネットソリューションのオートメーションステッチは、ネットワーク内で検出された特定のイベントに対する自動応答を可能にします。この自動化は、手動による介入なしに脅威を迅速に緩和するのに役立ちます。
* FortiGate Security Profiles：
* FortiGateは、セキュリティ プロファイルを使用して、ネットワーク トラフィックにポリシーを適用します。これらのプロファイルには、ウイルス対策、Web フィルタリング、侵入防御などが含まれます。
* セキュリティ・プロファイルが違反や特定のイベントを検出すると、事前に定義されたアクションをトリガーすることができます。
* ウェブフック・コール
* FortiGateは、特定のセキュリティイベントを検出するとWebhookコールを送信するように設定できます。
* Webhookは、イベントによってトリガされ、指定されたURLにデータを送信するHTTPコールバックです。これにより、FortiGateはFortiAnalyzerなどの他のシステムと通信できます。
* FortiAnalyzerの統合：
* FortiAnalyzerは、さまざまなフォーティネットデバイスからログとイベントを収集し、一元的なロギングと分析を行います。
* FortiAnalyzerは、FortiGateからのWebhookコールを受信すると、イベントをさらに分析し、レ ポートを生成し、設定されていれば自動アクションを実行できます。
* 詳細なプロセス
* ステップ 1: FortiGate のセキュリティ プロファイルは、定義されたセキュリティ ポリシーに基づいて違反をトリガーします。
* ステップ 2：FortiGate は、FortiAnalyzer に違反の詳細を示す Webhook コールを送信します。
* ステップ3：FortiAnalyzerはWebhookコールを受信し、イベントをログに記録します。
* ステップ4: 構成に応じて、FortiAnalyzerは、アラートの送信、レポートの生成、さら なるアクションのトリガなど、イベントに対応するための自動化ステッチを実行できます。
* 参考文献
* フォーティネットのドキュメント：FortiOS Automation Stitches
* FortiAnalyzer 管理ガイド：イベント ハンドラの構成と FortiGate との統合に関する詳細。
* FortiGate 管理ガイド：セキュリティ プロファイルと Webhook 構成に関する情報。
Webhookコールや自動化ステッチを通じてFortiGateとFortiAnalyzerの相互作用を理解することで、セキュリティ運用は、セキュリティイベントへのプロアクティブかつ効率的な対応を確保することができます。

* FortiAnalyzer の機能を理解する：
* FortiAnalyzerには、ログ分析、監視、インシデント対応のための複数の機能が含まれています。
* SIEM（Security Information and Event Management）データベースは、ログデータの保存と分析に使用され、高度な分析と洞察を提供します。
* オプションの評価
* オプションA：脅威ハンティング
* 脅威ハンティングでは、自動化ツールでは捕捉できない脅威を検出し、切り分けるために、ログデータを積極的に検索する。
* この機能は、SIEMデータベースを活用して、高度なログ分析を実行し、イベントを相関させ、潜在的なセキュリティ・インシデントを特定します。
* オプションB：資産アイデンティティ・センター
* この機能は、高度なログ分析ではなく、資産とアイデンティティ管理に焦点を当てています。
* オプションC：イベントモニター
* イベントモニターは、ログに基づくリアルタイムのモニタリングとアラートを提供しますが、SIEMデータベースが脅威を発見するために行うような高度なログ分析を特に利用するわけではありません。
* オプションD：アウトブレイク警報
* アウトブレイク・アラートは、広範なセキュリティ・インシデントに関する通知を提供するが、SIEMデータベースを使用した高度なログ解析には直接関係しない。
* 結論
* FortiAnalyzerの高度なログ分析と監視のためにSIEMデータベースを使用する機能は、脅威ハンティングです。
参考文献
* FortiAnalyzer の機能と SIEM 機能に関するフォーティネットのドキュメント。
* セキュリティのベストプラクティスと脅威ハンティングのユースケース。

* プレイブック・トリガーを理解する：
* Playbookトリガーは、FortiAnalyzerまたはFortiSOAR内の自動ワークフローの開始点です。
* これらのトリガーは、プレイブックがいつ、どのように実行されるかを決定し、プレイブック内の後続タスクに関連情報（トリガー変数）を渡すことができます。
* プレイブック・トリガーの種類：
* イベントトリガー
* 特定のイベントが発生すると、プレイブックを開始する。
* イベントの詳細は、後のタスクで変数として使用し、レスポンスをカスタマイズすることができる。
* イベントの詳細をトリガー変数として使用できるため選択。
* インシデント・トリガー
* インシデントが作成または更新されると、プレイブックをアクティブにします。
* インシデントの詳細は、後続のタスクで変数として利用できる。
* インシデントの詳細をトリガー変数として使用できるため選択。
* ON SCHEDULE トリガー：
* 指定した時間または間隔でプレイブックを実行する。
* 本来、トリガーイベントを使用して、後のタスクに変数を渡すことはありません。
* トリガーイベントの詳細を渡さないため、選択しない。
* オンデマンド・トリガー
* 手動または必要に応じてプレイブックを実行する。
* 後のタスクで使用するためのトリガーイベントの詳細は自動的に含まれません。
* 変数のトリガーイベントを使用しないため、選択しない。
* 実施ステップ
* ステップ1： プレイブック構成で、EVENTまたはINCIDENTトリガーの条件を定義します。
* ステップ 2: トリガーとなるイベントやインシデントの詳細を後続のタスクで使用し、アクショ ンやレスポンスをカスタマイズします。
* ステップ 3: トリガー変数が正しく渡され、利用されていることを確認するために、プレイブックをテストします。
* 結論
* EVENTトリガーとINCIDENTトリガーは、特定の発生に基づいてプレイブックを開始するように特別に設計されており、後続のタスクでトリガーの詳細を使用することができます。
参考文献
* Fortinet Documentation on Playbook Configuration FortiSOAR Playbook Guide EVENTトリガーとINCIDENTトリガーを使用すると、後のタスクでトリガーイベントを変数として活用できるため、より動的で応答性の高いプレイブックのアクションが可能になります。

* 問題を理解する：
* 1 台の FortiGate デバイスが、他のデバイスに比べて非常に大量のログを生成しているため、ADOM のストレージ クォータを超過しています。
* これは、パフォーマンスの問題や、FortiAnalyzer内でログを効果的に管理することの困難につながる可能性があります。
* 可能な解決策
* 目標は、ログの量を管理し、ADOMがそのクォータを超えないようにすることである。
* 解決策 A: 最初の FortiGate デバイスのストレージ容量割り当てを増やします：
* ストレージ容量のクォータを増やすことは一時的な救済にはなるかもしれませんが、問題の根本的な原因である過剰なログ容量には対処できません。
* この解決策は、ログ量が増え続ける可能性があるため、長期的には持続可能ではないかもしれない。
* 長期的かつ効率的な解決策を提供しないため、選ばれなかった。
* 解決策B: 最初のFortiGateデバイス用に別のADOMを作成し、異なるストレージ ポリシーを設定します：
* 独立したADOMを作成することで、高ログ・ボリューム・デバイス専用にカスタマイズされたストレージ・ポリシーと管理が可能になります。
* これは、ストレージの負荷を分散し、より厳格な、あるいはカスタマイズされた保存・保管ポリシーを適用するのに役立ちます。
* ログの保存と整理を効果的に管理できるため、選ばれた。
* 解決策C：最初のFortiGateデバイスを再設定して、FortiAnalyzerに転送するログの数を減らします：
* FortiGateデバイスのログ設定を調整することで、FortiAnalyzerに転送されるログの量を減らすことができます。
* これには、不要なロギングを無効にする、ロギング・レベルを下げる、または重要度の低いログをフィルタリングすることが含まれます。
* 過剰なログ量の問題に直接対処するため、選択された。
* 解決策D: 最初のFortiGateデバイスから送信されるデータをフィルタリングするためにデータ セレクタを設定します：
* データセレクタを使用して、FortiAnalyzerに送信されるログをフィルタリングし、関連するログのみを 転送することができます。
* これはログの量を減らすのに役立つが、重要なログを見逃さないようにするためには、詳細な設定と定期的な更新が必要になるかもしれない。
* FortiGateデバイスで直接ロギング設定を再設定するほど効果がない可能性があるため、選択しません。
* 実施ステップ
* 解決策Bについて
* ステップ1： FortiAnalyzerにアクセスし、ADOM管理セクションに移動します。
* ステップ2：ログ量の多いFortiGateデバイス用に新しいADOMを作成します。
* ステップ3: FortiGateデバイスをこの新しいADOMに登録します。
* ステップ4：ログの保持と保存を管理するために、新しいADOMに特定のストレージ・ポリシーを設定する。
* 解答Cの場合：
* ステップ1: FortiGateデバイスの設定インターフェイスにアクセスします。
* ステップ2：ロギング設定に移動する。
* ステップ3：ログレベルを調整し、不要なログを無効にする。
* ステップ4: 設定を保存し、FortiAnalyzerに送信されるログ量を監視します。
参考文献
* FortiAnalyzer ADOM およびログ管理に関する Fortinet ドキュメント FortiAnalyzer 管理ガイド
* FortiGate のログ設定の構成に関する Fortinet Knowledge Base FortiGate Logging Guide ログ量の多い FortiGate デバイス用に別の ADOM を作成し、そのログ設定を再構成することで、ログ量を効果的に管理し、ADOM がクォータを超えないようにすることができます。

* 要件を理解する：
* FortiSandboxの分析からFortiAnalyzerが検出した悪意のある添付ファイル イベントに基づいて、インシデントを作成し、レポートを生成することが目的です。
* エンドポイントホストは、FortiSandboxと統合されたFortiClient EMSによって保護されます。すべてのログは FortiAnalyzer に送信されます。
* 主要コンポーネント
* FortiAnalyzer：フォーティネットデバイスのロギングと分析を一元化。
* FortiSandbox：不審なファイルやURLを分析する高度な脅威保護システム。
* FortiClient EMS：FortiSandbox と統合してエンドポイント保護を実現するエンドポイント管理システム。
* プレーブック分析：
* GET_EVENTS、RUN_REPORT、およびCREATE_INCIDENTである。
* EVENT_TRIGGER: イベント発生時にプレイブックを開始する。
* GET_EVENTS：関連するイベントを取得する。
* RUN_REPORT: イベントに基づいてレポートを作成する。
* CREATE_INCIDENT: インシデント管理システムにインシデントを作成する。
* 正しいコネクターの選択
* FortiSandbox が分析した悪意のある添付ファイルに関するイベントを取得し、FortiAnalyzer との統合を容易にする必要があります。
* コネクタオプション
* FortiSandbox コネクタ：
* FortiSandboxと直接統合し、悪意のある添付ファイルに関する分析結果やイベントを取得します。
* 詳細なサンドボックス分析結果の取得に最適。
* FortiSandbox 解析イベントの処理要件に直接関係するため、選択しました。
* FortiClient EMS Connector：
* エンドポイントセキュリティの管理とエンドポイントログとの統合に使用。
* サンドボックス分析イベントのフェッチとは直接関係ありません。
* サンドボックスの分析イベントとは直接関係がないため、選択しない。
* FortiMail コネクタ：
* 電子メールのセキュリティと、電子メール関連のログとイベントの処理に使用されます。
* サンドボックス分析イベントには適用されない。
* サンドボックス分析に関係ないため、選択せず。
* ローカルコネクター
* FortiAnalyzer 自体のローカルイベントを処理します。
* 詳細なサンドボックスの分析結果を取得するには、十分な具体性がないかもしれません。
* FortiSandboxとの必要な統合を提供しない可能性があるため、選択しません。
* 実施ステップ
* ステップ 1：FortiSandbox が解析結果を FortiAnalyzer に送信するように設定されていることを確認します。
* ステップ2： プレイブックのFortiSandboxコネクタを使用して、悪意のある添付ファイルに関連するイベントをフェッチします。
* ステップ3： FortiSandboxコネクタを使用するようにGET_EVENTSアクションを設定します。
* ステップ4：フェッチされたイベントに基づいて、RUN_REPORTとCREATE_INCIDENTア クションをセットアップする。
参考文献
* FortiSandbox 統合に関する Fortinet ドキュメント FortiSandbox 統合ガイド
* FortiSandbox コネクタを使用することで、アナリストは、FortiSandbox 分析に基づくイベントをプレイブックが正確にフェッチし、必要なインシデントとレポートが生成されることを確認できます。

* 問題を理解する
* SMTP偵察活動を検出するためのカスタムイベントハンドラーが、大量のイベントを生成している。
* このような大量のイベントは通知システムを圧倒し、潜在的なアラート疲労とインシデント対応の非効率性をもたらしている。
* イベントハンドラの設定：
* イベントハンドラは、特定の条件に基づいてアラートをトリガーするように構成されています。
* これらのアラートの頻度や音量は、トリガー条件を調整することでコントロールできます。
* 可能な解決策
* A. トリガーカウントを増やし、特定のグループによってトリガーされるカウントを特定し、減らす：
* トリガーカウントを増加させることで、イベントハンドラが、より高い閾値のアクティビティが検出された後にのみアラートを生成するようにします。
* これにより、発生するイベントの数が減り、通知システムに負担がかかるのを防ぐことができます。
* 生成されるイベントの量を効果的に管理できるため、選ばれました。
* B. カスタムイベントハンドラーが期待通りに動作していないため、無効にする：
* イベントハンドラを無効にすることは、SMTP偵察活動の監視を完全に止めることになるため、現実的な解決策ではない。
* イベント発生の微調整の問題に対処していないため、選択しない。
* C. 攻撃中にカスタムイベントハンドラーがカバーする時間範囲を狭める：
* 時間の幅を狭めることは、場合によっては助けになるかもしれないが、攻撃が長い期間にわたれば、重要な活動を見逃すことにもなりかねない。
* 重要事象の過少報告につながる可能性があるため、選択しなかった。
* D. ログフィールドの値を大きくして、イベントを作成するときに、よりユニークなフィールド値を探すようにします：
* ログフィールドの値を調整することで、イベント基準を絞り込むことができるかもしれませんが、アラートの量を直接コントロールすることはできません。
* イベント量を管理する最も効果的な方法ではないため、選択しない。
* 実施ステップ
* ステップ1: FortiAnalyzerのイベントハンドラ設定にアクセスします。
* ステップ2：SMTP偵察のカスタムイベントハンドラー内のトリガーカウント設定を見つける。
* ステップ3：トリガーカウントを、警告の感度と音量のバランスが取れるような高い値に上げる。
* ステップ4：設定を保存し、イベント発生を監視して、それが期待されるレベルと一致していることを確認する。
* 結論
* トリガーカウントを増やすことで、カスタムイベントハンドラーによって生成されるイベントの数を効果的に減らすことができ、通知システムが圧倒されるのを防ぐことができます。
参考文献
* イベントハンドラと構成に関する Fortinet ドキュメント FortiAnalyzer 管理ガイド
* イベント管理のベストプラクティス フォーティネットナレッジベース
カスタム・イベント・ハンドラのトリガー・カウントを増やすことで、生成されるイベントの量を管理し、通知システムが過負荷になるのを防ぐことができます。

* MITRE ATT&CK マトリックスを理解する：
* MITRE ATT&CK フレームワークは、実世界の観察に基づく敵の戦術と技術の知識ベースである。
* マトリックスの各戦術は、攻撃手法の「なぜ」を表し、各戦術は敵がその戦術を「どのように」達成するかを表す。
* 提供された展示品の分析
* この図は、FortiAnalyzer に表示される MITRE ATT&CK Enterprise マトリックスの一部を示しています。
* T1071（アプリケーション・レイヤー・プロトコル）は、T1071.001、T1071.002、T1071.003、T1071.004のサブテクニックを持つ。
* 各サブテクニックは、コマンドとアプリケーションに使用されるアプリケーション層プロトコルの異なるタイプを指定します。
* コントロール（C2）：
* T1071.001 ウェブ・プロトコル
* T1071.002 ファイル転送プロトコル
* T1071.003 メール・プロトコル
* T1071.004 DNS
* キーポイントの特定
* T1071の下にあるサブテクニック：T1071には4つのサブテクニックがあり、ステートメントBが真実であることが確認できる。
* T1071のイベントハンドラ：FortiAnalyzerには、さまざまな戦術やテクニックを監視するためのイベントハンドラが含まれています。戦術T1071用のイベントハンドラが存在することは、これらの特定のサブテクニックに対するアクティブな監視とアラートを示唆しており、ステートメントCが真であることを確認している。
* 誤解が解けた：
* T1071は4つのサブテクニックを持つ1つのテクニックであるため、ステートメントA（戦術T1071の下に4つのテクニック）は正しくない。
* ステートメントD(戦術に関連する15のイベント)は誤解を招く。15という数字はアプリケーションレイヤープロトコルのテクニックのことであり、イベントの数とは直接関係ありません。
結論
* 展示物を正確に解釈すると、テクニックT1071の下に4つのサブテクニックがあり、タクティクスT1071をカバーするイベントハンドラがあることが確認できる。
参考文献
* MITRE ATT&CK フレームワークの文書。
* FortiAnalyzer Event Handling および MITRE ATT&CK Integration ガイド。