2024 使用我们的试卷和 PDF 测试引擎，轻松通过 FCSS_SOC_AN-7.4 考试 [Q22-Q41]

* 了解 FortiAnalyzer 中的事件创建：
* FortiAnalyzer 允许创建事件以跟踪和管理安全事件。
* 可根据检测到的事件和预定义规则自动或手动创建事件。
* 分析方法：
* 选项 A：使用连接器操作通常涉及与其他系统或服务集成，不是在 FortiAnalyzer 上创建事件的直接方法。
* 选项 B：可在事件监控页面手动创建事件，方法是选择相关事件并根据这些事件创建事 件。
* 选项 C：虽然游戏本可以自动执行响应和操作，但事件的直接创建通常是通过事件处理程序或手动流程来管理的。
* 选项 D：可配置自定义事件处理程序，以根据特定事件或条件触发事件创建，从而在 FortiAnalyzer 内实现流程自动化。
* 结论：
* 在 FortiAnalyzer 上创建事件的两种有效方法是在事件监控页面上手动创建和使用自定义事件处理程序创建。
参考资料
* Fortinet 关于 FortiAnalyzer 事件管理的文档。
* FortiAnalyzer 事件处理和定制指南。

* 自动化缝合概述：Fortinet 解决方案中的自动化缝合可对网络中检测到的特定事件做出自动响应。这种自动化有助于迅速缓解威胁，而无需人工干预。
* FortiGate 安全配置文件：
* FortiGate 使用安全配置文件对网络流量执行策略。这些配置文件可包括防病毒、网络过滤、入侵防御等。
* 当安全配置文件检测到违规行为或特定事件时，可触发预定义的操作。
* Webhook 调用：
* FortiGate 可配置为在检测到特定安全事件时发送 Webhook 呼叫。
* 网络钩子是由事件触发的 HTTP 回调，将数据发送到指定的 URL。这允许 FortiGate 与 FortiAnalyzer 等其他系统通信。
* FortiAnalyzer 集成：
* FortiAnalyzer 从各种 Fortinet 设备收集日志和事件，提供集中的日志和分析。
* 收到 FortiGate 的 Webhook 调用后，FortiAnalyzer 可进一步分析事件、生成报告，并在配置的情况下采取自动措施。
* 详细流程：
* 步骤 1：FortiGate 上的安全配置文件根据定义的安全策略触发违规。
* 第 2 步：FortiGate 向 FortiAnalyzer 发送 webhook 呼叫，提供违规详情。
* 步骤 3：FortiAnalyzer 接收 Webhook 调用并记录事件。
* 步骤 4：根据配置，FortiAnalyzer 可执行自动化缝合以响应事件，如发送警报、生成报告或触发进一步的操作。
* 参考资料：
* Fortinet 文件：FortiOS 自动化缝合
* FortiAnalyzer 管理指南：配置事件处理程序和与 FortiGate 集成的详细信息。
* FortiGate 管理指南：有关安全配置文件和 Webhook 配置的信息。
通过Webhook调用和自动化缝合了解FortiGate和FortiAnalyzer之间的互动，安全运营部门可以确保对安全事件做出积极有效的响应。

* 了解 FortiAnalyzer 功能：
* FortiAnalyzer 包括多项日志分析、监控和事件响应功能。
* SIEM （安全信息和事件管理）数据库用于存储和分析日志数据，提供高级分析和见解。
* 评估各种选择：
* 方案 A：威胁猎杀
* 威胁猎取包括主动搜索日志数据，以检测和隔离自动工具可能捕捉不到的威胁。
* 该功能利用 SIEM 数据库执行高级日志分析、关联事件并识别潜在的安全事件。
* 方案 B：资产识别中心
* 该功能侧重于资产和身份管理，而非高级日志分析。
* 选项 C：事件监控器
* 虽然事件监控器可根据日志提供实时监控和警报，但它并不像 SIEM 数据库那样专门利用高级日志分析来猎取威胁。
* 选项 D：疫情警报
* 爆发警报提供有关大范围安全事件的通知，但与使用 SIEM 数据库进行高级日志分析没有直接关系。
* 结论：
* FortiAnalyzer 中使用 SIEM 数据库进行高级日志分析和监控的功能是威胁猎取。
参考资料
* 关于 FortiAnalyzer 功能和 SIEM 功能的 Fortinet 文档。
* 威胁猎捕的最佳安全实践和使用案例。

* 了解玩法触发器：
* Playbook 触发器是 FortiAnalyzer 或 FortiSOAR 内自动工作流的起点。
* 这些触发器决定了如何以及何时执行播放簿，并可将相关信息（触发器变量）传递给播放簿中的后续任务。
* Playbook 触发器类型：
* 事件触发器：
* 当特定事件发生时，启动游戏本。
* 事件详细信息可在以后的任务中用作变量，以定制响应。
* 已选择，因为它允许使用事件细节作为触发变量。
* 事件触发器：
* 在创建或更新事件时激活播放簿。
* 事件详细信息在后续任务中作为变量提供。
* 已选定，因为它可以使用事件细节作为触发变量。
* 按计划触发：
* 在指定时间或时间间隔执行游戏本。
* 本质上不使用触发事件将变量传递给后续任务。
* 由于不涉及传递触发事件详细信息，因此未选择。
* 按需触发：
* 手动或根据需要运行游戏本。
* 不会自动包含触发事件的详细信息供以后的任务使用。
* 未选择，因为它不使用变量触发事件。
* 实施步骤：
* 步骤 1：在游戏本配置中定义事件或事故触发器的条件。
* 第 2 步：在后续任务中使用触发事件或事故的详细信息，自定义操作和响应。
* 第 3 步：测试 playbook，确保触发变量被正确传递和使用。
* 结论：
* EVENT 和 INCIDENT 触发器专门设计用于根据特定事件启动播放簿，以便在后续任务中使用触发器详细信息。
参考资料
* Fortinet Playbook 配置文档 FortiSOAR Playbook 指南 通过使用 EVENT 和 INCIDENT 触发器，您可以在后面的任务中将触发事件作为变量加以利用，从而实现更动态、反应更迅速的 Playbook 操作。

* 了解问题：
* 一台 FortiGate 设备生成的日志量明显高于其他设备，导致 ADOM 超过其存储配额。
* 这可能会导致性能问题和在 FortiAnalyzer 中有效管理日志的困难。
* 可能的解决方案：
* 目标是管理日志量，确保 ADOM 不超过配额，同时保持有效的日志分析和监控。
* 解决方案 A：增加第一个 FortiGate 设备的存储空间配额：
* 虽然增加存储空间配额可能会暂时缓解问题，但并不能从根本上解决日志量过大的问题。
* 从长远来看，这种解决方案可能难以为继，因为日志量可能会持续增长。
* 未被选中，因为它不能提供长期、有效的解决方案。
* 解决方案 B：为第一台 FortiGate 设备创建单独的 ADOM 并配置不同的存储策略集：
* 创建一个单独的 ADOM，可专门为高日志量设备定制存储策略和管理。
* 这有助于分配存储负载，并应用更严格或定制的保留和存储策略。
* 选择它是因为它能有效地管理日志的存储和组织。
* 解决方案 C：重新配置第一个 FortiGate 设备，以减少转发到 FortiAnalyzer 的日志数量：
* 通过调整 FortiGate 设备上的日志设置，可以减少转发到 FortiAnalyzer 的日志数量。
* 这可能包括禁用不必要的日志记录、降低日志记录级别或过滤掉不太重要的日志。
* 选择它是因为它直接解决了日志量过大的问题。
* 解决方案 D：配置数据选择器以过滤第一个 FortiGate 设备发送的数据：
* 数据选择器可用于过滤发送到 FortiAnalyzer 的日志，确保只转发相关日志。
* 这有助于减少日志数量，但可能需要详细配置和定期更新，以确保不遗漏关键日志。
* 未选择，因为它可能不如直接在 FortiGate 设备上重新配置日志设置有效。
* 实施步骤：
* 对于解决方案 B：
* 步骤 1：访问 FortiAnalyzer 并导航至 ADOM 管理部分。
* 第 2 步：为高日志量 FortiGate 设备创建新的 ADOM。
* 第 3 步：将 FortiGate 设备注册到新的 ADOM。
* 步骤 4：为新的 ADOM 配置特定的存储策略，以管理日志保留和存储。
* 对于解决方案 C：
* 步骤 1：访问 FortiGate 设备的配置界面。
* 步骤 2：导航至日志记录设置。
* 第 3 步：调整日志记录级别，禁用不必要的日志记录。
* 步骤 4：保存配置并监控发送到 FortiAnalyzer 的日志量。
参考资料
* Fortinet 关于 FortiAnalyzer ADOM 和日志管理的文档 FortiAnalyzer 管理指南
* FortiGate 上配置日志设置的 Fortinet 知识库 FortiGate 日志指南 通过为日志量大的 FortiGate 设备创建单独的 ADOM 并重新配置其日志设置，可以有效地管理日志量并确保 ADOM 不超过其配额。

* 了解要求：
* 目标是根据 FortiAnalyzer 通过 FortiSandbox 分析检测到的恶意附件事件创建事件并生成报告。
* 端点主机受 FortiClient EMS 保护，该系统与 FortiSandbox 集成。所有日志都会发送到 FortiAnalyzer。
* 主要组成部分：
* FortiAnalyzer：Fortinet 设备的集中日志记录和分析。
* FortiSandbox：高级威胁防护系统，可分析可疑文件和 URL。
* FortiClient EMS：端点管理系统，与 FortiSandbox 集成，提供端点保护。
* 玩法分析：
* 展品中的播放程序包括三个主要操作：GET_EVENTS（获取事件）、RUN_REPORT（运行报告）和 CREATE_INCIDENT（创建事件）。
* EVENT_TRIGGER: 当事件发生时启动游戏程序。
* GET_EVENTS：获取相关事件。
* RUN_REPORT: 根据事件生成报告。
* CREATE_INCIDENT: 在事件管理系统中创建一个事件。
* 选择正确的连接器：
* 正确的连接器应允许获取与 FortiSandbox 分析的恶意附件相关的事件，并促进与 FortiAnalyzer 的集成。
* 连接器选项：
* FortiSandbox 连接器：
* 直接与 FortiSandbox 集成，获取与恶意附件相关的分析结果和事件。
* 最适合获取详细的沙盒分析结果。
* 选择该选项是因为它与处理 FortiSandbox 分析事件的要求直接相关。
* FortiClient EMS 连接器：
* 用于管理端点安全并与端点日志集成。
* 与获取沙盒分析事件无直接关系。
* 未选择，因为它与沙盒分析事件没有直接关系。
* FortiMail 连接器：
* 用于电子邮件安全和处理与电子邮件相关的日志和事件。
* 不适用于沙盒分析事件。
* 由于与沙箱分析无关，故未选择。
* 本地连接器：
* 处理 FortiAnalyzer 本身的本地事件。
* 可能不够具体，无法获取详细的沙盒分析结果。
* 未选择，因为它可能无法提供所需的与 FortiSandbox 的集成。
* 实施步骤：
* 步骤 1：确保 FortiSandbox 已配置为向 FortiAnalyzer 发送分析结果。
* 第 2 步：使用播放本中的 FortiSandbox 连接器获取与恶意附件相关的事件。
* 第 3 步：配置 GET_EVENTSaction 以使用 FortiSandbox 连接器。
* 第 4 步：根据获取的事件设置 RUN_REPORT 和 CREATE_INCIDENT 操作。
参考资料
* FortiSandbox 整合文件 FortiSandbox 整合指南
* Fortinet 关于 FortiAnalyzer 事件处理的文档 FortiAnalyzer 管理指南 通过使用 FortiSandbox 连接器，分析师可以确保游戏本准确获取基于 FortiSandbox 分析的事件，并生成所需的事件和报告。

* 了解问题：
* 用于检测 SMTP 侦查活动的自定义事件处理程序正在生成大量事件。
* 大量事件使通知系统不堪重负，可能导致警报疲劳和事件响应效率低下。
* 事件处理程序配置：
* 配置事件处理程序，以便根据特定条件触发警报。
* 可以通过调整触发条件来控制这些警报的频率和音量。
* 可能的解决方案：
* A. 增加触发次数，以便识别和减少由特定组触发的次数：
* 通过增加触发次数，可以确保事件处理程序只在检测到较高的活动阈值后才发出警报。
* 这样可以减少产生的事件数量，避免通知系统不堪重负。
* 选择它是因为它能有效管理生成的事件量。
* B. 禁用自定义事件处理程序，因为它无法按预期运行：
* 禁用事件处理程序不是一个实用的解决方案，因为它会完全停止对 SMTP 侦查活动的监控。
* 不选，因为它没有解决事件生成的微调问题。
* C. 减少自定义事件处理程序在攻击期间覆盖的时间范围：
* 在某些情况下，缩小时间范围可能会有所帮助，但如果攻击时间跨度较长，也可能导致遗漏重要活动。
* 由于可能导致重大事件漏报，故未选择。
* D. 增加日志字段值，以便在创建事件时查找更多唯一字段值：
* 调整日志字段值可以完善事件标准，但不能直接控制警报数量。
* 不选，因为这不是管理活动量的最有效方法。
* 实施步骤：
* 步骤 1：访问 FortiAnalyzer 中的事件处理器配置。
* 第 2 步：找到 SMTP 侦查自定义事件处理程序中的触发次数设置。
* 步骤 3：将触发次数增加到更高的值，以平衡警报灵敏度和音量。
* 步骤 4：保存配置并监控事件生成，确保其符合预期水平。
* 结论：
* 通过增加触发次数，可以有效减少自定义事件处理程序产生的事件数量，防止通知系统不堪重负。
参考资料
* Fortinet 关于事件处理程序和配置的文档 FortiAnalyzer 管理指南
* 事件管理的最佳实践 Fortinet 知识库
通过增加自定义事件处理程序中的触发次数，可以管理生成事件的数量，防止通知系统不堪重负。

* 了解 MITRE ATT&CK 矩阵：
* MITRE ATT&CK 框架是一个基于真实世界观察的对手战术和技术知识库。
* 矩阵中的每个战术都代表了攻击技术的 "原因"，而每个技术则代表了对手 "如何 "实现战术。
* 分析提供的展品：
* 图例显示了 FortiAnalyzer 上显示的 MITRE ATT&CK Enterprise 矩阵的一部分。
* 重点是技术 T1071（应用层协议），其子技术分别为 T1071.001、T1071.002、T1071.003 和 T1071.004。
* 每个子技术都指定了不同类型的应用层协议，用于命令和
* 控制 (C2)：
* T1071.001 网络协议
* T1071.002 文件传输协议
* T1071.003 邮件协议
* T1071.004 DNS
* 确定要点：
* T1071 下的子技术：在主技术 T1071 下列出了四种子技术，这证实了 B 的说法是正确的。
* T1071 的事件处理程序：FortiAnalyzer 包括用于监控各种战术和技术的事件处理程序。战术 T1071 的事件处理程序的存在表明对这些特定子技术进行了主动监控和警报，从而证实了声明 C 的正确性。
* 澄清误解：
* A 项（战术 T1071 下的四种技巧）不正确，因为 T1071 是一种包含四种子技巧的单一技巧。
* 语句 D（与战术相关的 15 个事件）具有误导性。数字 15 指的是应用层协议下的技术，与事件数量没有直接关系。
结论
* 对展品的准确解读证实，技术 T1071 下有四个子技术，并且有事件处理程序覆盖技术 T1071。
参考资料
* MITRE ATT&CK 框架文件。
* FortiAnalyzer 事件处理和 MITRE ATT&CK 集成指南。