2024 우리의 덤프와 PDF 시험 엔진으로 FCSS_SOC_AN-7.4시험에 쉽게 합격 [Q22-Q41].

* 포티애널라이저의 인시던트 생성에 대한 이해:
* 포티애널라이저를 사용하면 보안 이벤트를 추적하고 관리하기 위한 인시던트를 생성할 수 있습니다.
* 인시던트는 감지된 이벤트와 미리 정의된 규칙을 기반으로 자동 및 수동으로 생성할 수 있습니다.
* 메소드 분석하기:
* 옵션 A: 커넥터 작업을 사용하는 것은 일반적으로 다른 시스템 또는 서비스와의 통합을 포함하며 FortiAnalyzer에서 인시던트를 생성하는 직접적인 방법이 아닙니다.
* 옵션 B: 이벤트 모니터 페이지에서 관련 이벤트를 선택하고 해당 이벤트에서 인시던트를 수동으로 생성하여 인시던트를 만들 수 있습니다.
* 옵션 C: 플레이북은 대응 및 조치를 자동화할 수 있지만 인시던트의 직접적인 생성은 일반적으로 이벤트 핸들러 또는 수동 프로세스를 통해 관리합니다.
* 옵션 D: 특정 이벤트 또는 조건에 따라 인시던트 생성을 트리거하도록 사용자 지정 이벤트 핸들러를 구성하여 FortiAnalyzer 내에서 프로세스를 자동화할 수 있습니다.
* 결론:
* 포티애널라이저에서 인시던트를 생성하는 유효한 두 가지 방법은 이벤트 모니터 페이지에서 수동으로 생성하는 방법과 사용자 지정 이벤트 핸들러를 사용하는 방법입니다.
참조:
* 포티넷 포티애널라이저의 사고 관리에 대한 설명서.
* 포티애널라이저 이벤트 처리 및 사용자 지정 가이드.

* 자동화 스티치 개요: 포티넷 솔루션의 자동화 스티치는 네트워크 내에서 탐지된 특정 이벤트에 대한 자동화된 대응을 가능하게 합니다. 이러한 자동화는 수동 개입 없이 위협을 신속하게 완화하는 데 도움이 됩니다.
* 포티게이트 보안 프로필:
* 포티게이트는 보안 프로필을 사용하여 네트워크 트래픽에 대한 정책을 시행합니다. 이러한 프로필에는 안티바이러스, 웹 필터링, 침입 방지 등이 포함될 수 있습니다.
* 보안 프로필이 위반 또는 특정 이벤트를 감지하면 미리 정의된 작업을 트리거할 수 있습니다.
* 웹훅 통화:
* 특정 보안 이벤트가 감지되면 웹후크 호출을 보내도록 FortiGate를 구성할 수 있습니다.
* 웹후크는 이벤트에 의해 트리거되는 HTTP 콜백으로, 지정된 URL로 데이터를 전송합니다. 이를 통해 포티게이트는 포티애널라이저와 같은 다른 시스템과 통신할 수 있습니다.
* 포티애널라이저 통합:
* 포티애널라이저는 다양한 포티넷 장치에서 로그와 이벤트를 수집하여 중앙 집중식 로깅 및 분석을 제공합니다.
* 포티게이트에서 웹훅 호출을 받으면 FortiAnalyzer는 이벤트를 추가로 분석하고, 보고서를 생성하고, 자동화된 조치를 취하도록 구성된 경우 이를 수행할 수 있습니다.
* 세부 프로세스:
* 1단계: 정의된 보안 정책에 따라 FortiGate의 보안 프로필이 위반을 트리거합니다.
* 2단계: 포티게이트가 위반 세부 정보가 포함된 웹훅 호출을 포티애널라이저로 전송합니다.
* 3단계: 포티애널라이저가 웹훅 호출을 수신하고 이벤트를 기록합니다.
* 4단계: 구성에 따라 FortiAnalyzer는 알림 전송, 보고서 생성, 추가 조치 트리거 등 이벤트에 대응하기 위한 자동화 스티치를 실행할 수 있습니다.
* 참고:
* 포티넷 설명서: 포티OS 자동화 스티치
* 포티애널라이저 관리 가이드: 이벤트 핸들러 구성 및 FortiGate와의 통합에 대한 자세한 내용입니다.
* 포티게이트 관리 가이드: 보안 프로필 및 웹후크 구성에 대한 정보입니다.
웹후크 호출과 자동화 스티치를 통해 FortiGate와 FortiAnalyzer 간의 상호 작용을 이해함으로써 보안 운영자는 보안 이벤트에 선제적이고 효율적으로 대응할 수 있습니다.

* 포티애널라이저 기능 이해:
* 포티애널라이저에는 로그 분석, 모니터링, 사고 대응을 위한 여러 기능이 포함되어 있습니다.
* SIEM(보안 정보 및 이벤트 관리) 데이터베이스는 로그 데이터를 저장하고 분석하는 데 사용되어 고급 분석 및 인사이트를 제공합니다.
* 옵션 평가하기:
* 옵션 A: 위협 헌팅
* 위협 헌팅은 로그 데이터를 선제적으로 검색하여 자동화된 도구로 포착하지 못할 수 있는 위협을 탐지하고 격리하는 것을 포함합니다.
* 이 기능은 SIEM 데이터베이스를 활용하여 고급 로그 분석을 수행하고, 이벤트를 상호 연관시키고, 잠재적인 보안 인시던트를 식별합니다.
* 옵션 B: 자산 신원 센터
* 이 기능은 고급 로그 분석보다는 자산 및 ID 관리에 중점을 둡니다.
* 옵션 C: 이벤트 모니터
* 이벤트 모니터는 로그를 기반으로 실시간 모니터링 및 알림을 제공하지만, SIEM 데이터베이스가 위협 헌팅에 사용하는 방식과 같은 고급 로그 분석을 특별히 활용하지는 않습니다.
* 옵션 D: 발생 알림
* 발생 알림은 광범위한 보안 인시던트에 대한 알림을 제공하지만 SIEM 데이터베이스를 사용하는 고급 로그 분석과는 직접 관련이 없습니다.
* 결론:
* 포티애널라이저의 고급 로그 분석 및 모니터링에 SIEM 데이터베이스를 사용하는 기능은 위협 헌팅입니다.
참조:
* 포티넷 설명서 포티애널라이저 기능 및 SIEM 기능에 대해 설명합니다.
* 위협 헌팅을 위한 보안 모범 사례 및 사용 사례.

* 플레이북 트리거 이해하기:
* 플레이북 트리거는 포티애널라이저 또는 포티소어 내에서 자동화된 워크플로우의 시작점입니다.
* 이러한 트리거는 플레이북이 실행되는 방법과 시기를 결정하고 관련 정보(트리거 변수)를 플레이북 내의 후속 작업으로 전달할 수 있습니다.
* 플레이북 트리거의 유형:
* 이벤트 트리거:
* 특정 이벤트가 발생하면 플레이북을 시작합니다.
* 이벤트 세부 정보를 나중에 작업에서 변수로 사용하여 응답을 사용자 지정할 수 있습니다.
* 이벤트 세부 정보를 트리거 변수로 사용할 수 있으므로 선택되어 있습니다.
* 인시던트 트리거:
* 인시던트가 생성되거나 업데이트될 때 플레이북을 활성화합니다.
* 인시던트 세부 정보는 후속 작업에서 변수로 사용할 수 있습니다.
* 인시던트 세부 정보를 트리거 변수로 사용할 수 있으므로 선택합니다.
* 일정 트리거 시:
* 지정된 시간 또는 간격으로 플레이북을 실행합니다.
* 기본적으로 트리거 이벤트를 사용하여 변수를 나중에 작업으로 전달하지 않습니다.
* 트리거 이벤트 세부 정보 전달을 포함하지 않으므로 선택하지 않습니다.
* 온디맨드 트리거:
* 플레이북을 수동으로 또는 필요에 따라 실행합니다.
* 이후 작업에서 사용할 수 있도록 트리거 이벤트 세부 정보를 자동으로 포함하지 않습니다.
* 변수에 트리거 이벤트를 사용하지 않으므로 선택되지 않았습니다.
* 구현 단계:
* 1단계: 플레이북 구성에서 이벤트 또는 인시던트 트리거의 조건을 정의합니다.
* 2단계: 후속 작업에서 트리거 이벤트 또는 인시던트의 세부 정보를 사용하여 작업 및 대응을 사용자 지정합니다.
* 3단계: 플레이북을 테스트하여 트리거 변수가 올바르게 전달되고 활용되는지 확인합니다.
* 결론:
* 이벤트 및 사건 트리거는 특정 발생을 기반으로 플레이북을 시작하도록 특별히 설계되었으므로 후속 작업에서 트리거 세부 정보를 사용할 수 있습니다.
참조:
* 플레이북 구성에 대한 포티넷 설명서 FortiSOAR 플레이북 가이드 EVENT 및 INCIDENT 트리거를 사용하면 이후 작업에서 트리거 이벤트를 변수로 활용하여 보다 역동적이고 반응이 빠른 플레이북 작업을 수행할 수 있습니다.

* 문제 이해하기:
* 한 FortiGate 장치가 다른 장치에 비해 훨씬 더 많은 양의 로그를 생성하여 ADOM이 스토리지 할당량을 초과합니다.
* 이로 인해 성능 문제가 발생하고 FortiAnalyzer 내에서 로그를 효과적으로 관리하는 데 어려움이 발생할 수 있습니다.
* 가능한 솔루션:
* 로그의 양을 관리하고 ADOM이 할당량을 초과하지 않도록 하면서도 효과적인 로그 분석 및 모니터링을 유지하는 것이 목표입니다.
* 해결 방법 A: 첫 번째 FortiGate 장치의 스토리지 공간 할당량을 늘립니다:
* 저장 공간 할당량을 늘리면 일시적으로 문제가 해결될 수 있지만, 문제의 근본 원인인 과도한 로그 볼륨을 해결하지는 못합니다.
* 로그 볼륨이 계속 증가할 수 있으므로 이 솔루션은 장기적으로 지속 가능하지 않을 수 있습니다.
* 장기적이고 효율적인 솔루션을 제공하지 않으므로 선택하지 않았습니다.
* 해결 방법 B: 첫 번째 FortiGate 장치에 대해 별도의 ADOM을 생성하고 다른 스토리지 정책 세트를 구성합니다:
* 별도의 ADOM을 생성하면 로그가 많은 장치에 맞는 맞춤형 스토리지 정책과 관리가 가능합니다.
* 이렇게 하면 스토리지 부하를 분산하고 보다 엄격하거나 맞춤화된 보존 및 저장 정책을 적용하는 데 도움이 될 수 있습니다.
* 로그의 저장 및 정리를 효과적으로 관리하기 때문에 선택했습니다.
* 해결 방법 C: 첫 번째 FortiGate 장치를 재구성하여 포티애널라이저로 전달되는 로그 수를 줄입니다:
* 포티게이트 장치에서 로깅 설정을 조정하면 포티애널라이저로 전달되는 로그의 양을 줄일 수 있습니다.
* 여기에는 불필요한 로깅을 비활성화하거나, 로깅 수준을 낮추거나, 덜 중요한 로그를 필터링하는 것이 포함될 수 있습니다.
* 과도한 로그 볼륨 문제를 직접적으로 해결하기 때문에 선택되었습니다.
* 해결 방법 D: 데이터 선택기를 구성하여 첫 번째 FortiGate 장치에서 전송한 데이터를 필터링합니다:
* 데이터 선택기를 사용하여 FortiAnalyzer로 전송되는 로그를 필터링하여 관련 로그만 전달되도록 할 수 있습니다.
* 로그의 양을 줄이는 데 도움이 될 수 있지만 중요한 로그가 누락되지 않도록 세부적인 구성과 정기적인 업데이트가 필요할 수 있습니다.
* 포트게이트 장치에서 직접 로깅 설정을 재구성하는 것만큼 효과적이지 않을 수 있으므로 선택하지 않습니다.
* 구현 단계:
* 솔루션 B의 경우:
* 1단계: FortiAnalyzer에 접속하여 ADOM 관리 섹션으로 이동합니다.
* 2단계: 로그가 많은 FortiGate 장치에 대한 새 ADOM을 생성합니다.
* 3단계: 이 새 ADOM에 FortiGate 장치를 등록합니다.
* 4단계: 로그 보존 및 저장을 관리하기 위해 새 ADOM에 대한 특정 스토리지 정책을 구성합니다.
* 솔루션 C의 경우
* 1단계: FortiGate 장치의 구성 인터페이스에 액세스합니다.
* 2단계: 로깅 설정으로 이동합니다.
* 3단계: 로깅 수준을 조정하고 불필요한 로그를 비활성화합니다.
* 4단계: 구성을 저장하고 FortiAnalyzer로 전송된 로그 볼륨을 모니터링합니다.
참조:
* 포티넷 포티넷 문서 포티애널라이저 ADOM 및 로그 관리 포티애널라이저 관리 가이드
* 포트게이트의 로그 설정 구성에 대한 포티넷 기술 자료 포티게이트 로깅 가이드 로그 볼륨이 많은 포티게이트 장치에 대해 별도의 ADOM을 생성하고 로그 설정을 재구성하면 로그 볼륨을 효과적으로 관리하고 ADOM이 할당량을 초과하지 않도록 보장할 수 있습니다.

* 요구 사항 이해:
* 포트니샌드박스 분석에서 FortiAnalyzer가 탐지한 악성 첨부파일 이벤트를 기반으로 인시던트를 생성하고 보고서를 생성하는 것이 목표입니다.
* 엔드포인트 호스트는 포티샌드박스와 통합된 포티클라이언트 EMS에 의해 보호됩니다. 모든 로그는 포티애널라이저로 전송됩니다.
* 주요 구성 요소:
* 포티애널라이저: 포티넷 장치에 대한 중앙 집중식 로깅 및 분석.
* 포티샌드박스: 의심스러운 파일과 URL을 분석하는 지능형 위협 보호 시스템입니다.
* 포티클라이언트 EMS: 엔드포인트 보호를 위해 포티샌드박스와 통합되는 엔드포인트 관리 시스템입니다.
* 플레이북 분석:
* 전시회의 플레이북은 세 가지 주요 작업인 GET_EVENTS, RUN_REPORT, CREATE_INCIDENT로 구성되어 있습니다.
* 이벤트 발생 시 플레이북을 시작합니다.
* GET_EVENTS: 관련 이벤트를 가져옵니다.
* RUN_REPORT: 이벤트를 기반으로 보고서를 생성합니다.
* CREATE_INCIDENT: 인시던트 관리 시스템에서 인시던트를 만듭니다.
* 올바른 커넥터 선택하기:
* 올바른 커넥터는 FortiSandbox에서 분석한 악성 첨부파일과 관련된 이벤트를 가져올 수 있어야 하며 FortiAnalyzer와의 통합이 용이해야 합니다.
* 커넥터 옵션:
* 포티샌드박스 커넥터:
* 포티샌드박스와 직접 통합하여 악성 첨부파일과 관련된 분석 결과 및 이벤트를 가져옵니다.
* 자세한 샌드박스 분석 결과를 얻는 데 가장 적합합니다.
* 포티샌드박스 분석 이벤트 처리 요구 사항과 직접적으로 연관되어 있으므로 선택되었습니다.
* 포티클라이언트 EMS 커넥터:
* 엔드포인트 보안 관리 및 엔드포인트 로그와의 통합에 사용됩니다.
* 샌드박스 분석 이벤트 가져오기와 직접적인 관련이 없습니다.
* 샌드박스 분석 이벤트와 직접 관련이 없으므로 선택되지 않았습니다.
* 포티메일 커넥터:
* 이메일 보안 및 이메일 관련 로그 및 이벤트 처리에 사용됩니다.
* 샌드박스 분석 이벤트에는 적용되지 않습니다.
* 샌드박스 분석과 관련이 없으므로 선택되지 않았습니다.
* 로컬 커넥터:
* 포티애널라이저 자체 내에서 로컬 이벤트를 처리합니다.
* 자세한 샌드박스 분석 결과를 가져오기에 충분히 구체적이지 않을 수 있습니다.
* 포티샌드박스와의 필수 통합을 제공하지 않을 수 있으므로 선택하지 않습니다.
* 구현 단계:
* 1단계: 분석 결과를 FortiAnalyzer로 전송하도록 FortiSandbox가 구성되어 있는지 확인합니다.
* 2단계: 플레이북의 FortiSandbox 커넥터를 사용하여 악성 첨부 파일과 관련된 이벤트를 가져옵니다.
* 3단계: FortiSandbox 커넥터를 사용하도록 GET_EVENTS액션을 구성합니다.
* 4단계: 가져온 이벤트에 따라 RUN_REPORT 및 CREATE_INCIDENT 액션을 설정합니다.
참조:
* 포티넷 문서 포티샌드박스 통합 포티샌드박스 통합 가이드
* 포티넷 포티애널라이저 이벤트 처리에 관한 문서 포티애널라이저 관리 가이드 분석가는 포티샌드박스 커넥터를 사용하여 플레이북이 포티샌드박스 분석을 기반으로 이벤트를 정확하게 가져오고 필요한 사고 및 보고서를 생성하도록 보장할 수 있습니다.

* 문제 이해하기:
* SMTP 정찰 활동을 탐지하기 위한 사용자 지정 이벤트 핸들러가 많은 수의 이벤트를 생성하고 있습니다.
* 이렇게 많은 양의 이벤트가 알림 시스템을 압도하여 잠재적인 알림 피로와 사고 대응의 비효율성으로 이어집니다.
* 이벤트 핸들러 구성:
* 이벤트 핸들러는 특정 기준에 따라 알림을 트리거하도록 구성됩니다.
* 트리거 조건을 조정하여 이러한 알림의 빈도와 볼륨을 조절할 수 있습니다.
* 가능한 솔루션:
* A. 특정 그룹에 의해 트리거되는 횟수를 식별하고 줄일 수 있도록 트리거 횟수를 늘립니다:
* 트리거 횟수를 늘리면 이벤트 핸들러가 더 높은 임계값의 활동이 감지된 후에만 알림을 생성하도록 할 수 있습니다.
* 이렇게 하면 생성되는 이벤트 수가 줄어들고 알림 시스템이 과부하되는 것을 방지할 수 있습니다.
* 생성되는 이벤트의 양을 효과적으로 관리하기 위해 선택되었습니다.
* B. 사용자 지정 이벤트 처리기가 예상대로 작동하지 않으므로 비활성화합니다:
* 이벤트 핸들러를 비활성화하면 SMTP 정찰 활동에 대한 모니터링이 완전히 중단되므로 실용적인 해결책은 아닙니다.
* 이벤트 생성 미세 조정 문제를 해결하지 않으므로 선택하지 않습니다.
* C. 사용자 지정 이벤트 핸들러가 공격 중에 적용하는 시간 범위를 줄입니다:
* 시간 범위를 줄이면 경우에 따라 도움이 될 수도 있지만, 공격이 더 긴 기간 동안 지속될 경우 중요한 활동을 놓칠 수도 있습니다.
* 중요한 이벤트의 과소 보고로 이어질 수 있으므로 선택하지 않습니다.
* 이벤트를 생성할 때 더 많은 고유 필드 값을 찾도록 로그 필드 값을 늘립니다:
* 로그 필드 값을 조정하면 이벤트 기준을 세분화할 수는 있지만 알림의 양을 직접 제어하지는 않습니다.
* 이벤트 볼륨을 관리하는 가장 효과적인 방법이 아니므로 선택하지 않습니다.
* 구현 단계:
* 1단계: 포티애널라이저에서 이벤트 핸들러 구성에 액세스합니다.
* 2단계: SMTP 정찰을 위한 사용자 지정 이벤트 핸들러에서 트리거 횟수 설정을 찾습니다.
* 3단계: 알림 감도와 볼륨의 균형을 맞출 수 있는 더 높은 값으로 트리거 횟수를 늘립니다.
* 4단계: 구성을 저장하고 이벤트 생성을 모니터링하여 예상 수준과 일치하는지 확인합니다.
* 결론:
* 트리거 수를 늘리면 사용자 지정 이벤트 핸들러에서 생성되는 이벤트 수를 효과적으로 줄여 알림 시스템에 과부하가 걸리지 않도록 할 수 있습니다.
참조:
* 이벤트 핸들러 및 구성에 대한 포티넷 설명서 FortiAnalyzer 관리 가이드
* 이벤트 관리를 위한 모범 사례 포티넷 기술 자료
사용자 지정 이벤트 핸들러의 트리거 수를 늘리면 생성되는 이벤트의 양을 관리하고 알림 시스템에 과부하가 걸리지 않도록 할 수 있습니다.

* MITRE ATT&CK 매트릭스 이해:
* MITRE ATT&CK 프레임워크는 실제 관찰을 기반으로 한 적의 전술과 기법에 대한 지식 기반입니다.
* 매트릭스의 각 전술은 공격 기술의 '이유'를 나타내며, 각 기술은 공격자가 전술을 달성하는 '방법'을 나타냅니다.
* 제공된 전시물 분석하기:
* 이 전시물은 포티애널라이저에 표시된 MITRE ATT&CK 엔터프라이즈 매트릭스의 일부를 보여줍니다.
* T1071.001, T1071.002, T1071.003 및 T1071.004라는 하위 기술이 있는 기술 T1071(애플리케이션 계층 프로토콜)에 중점을 두고 있습니다.
* 각 하위 기술은 Command에 사용되는 애플리케이션 계층 프로토콜의 다른 유형을 지정합니다.
* 제어(C2):
* T1071.001 웹 프로토콜
* T1071.002 파일 전송 프로토콜
* T1071.003 메일 프로토콜
* T1071.004 DNS
* 핵심 포인트 파악하기:
* T1071의 하위 기술: 기본 기술 T1071 아래에 나열된 네 가지 하위 기술이 있으며, 진술 B가 사실임을 확인합니다.
* T1071용 이벤트 핸들러: 포티애널라이저에는 다양한 전술과 기법을 모니터링하기 위한 이벤트 핸들러가 포함되어 있습니다. 전술 T1071에 대한 이벤트 핸들러가 있다는 것은 이러한 특정 하위 기법에 대한 적극적인 모니터링 및 경고를 의미하며, 이는 진술 C가 사실임을 확인시켜 줍니다.
* 오해가 해소되었습니다:
* 전술 T1071은 4개의 하위 기술을 가진 단일 기술이기 때문에 진술 A(전술 T1071에 따른 4개의 기술)는 올바르지 않습니다.
* 진술 D(전술과 관련된 15개의 이벤트)는 오해의 소지가 있습니다. 숫자 15는 애플리케이션 계층 프로토콜에 따른 기법을 의미하며 이벤트 수와는 직접적인 관련이 없습니다.
결론:
* 전시물의 정확한 해석을 통해 전술 T1071에는 4개의 하위 기술이 있으며 전술 T1071을 다루는 이벤트 핸들러가 있음을 확인할 수 있습니다.
참조:
* MITRE ATT&CK 프레임워크 문서.
* 포티애널라이저 이벤트 처리 및 MITRE ATT&CK 통합 가이드.