インシデント管理の実装

リアルタイムの監視と予防措置

ロギングと計測

自動化されたインシデント対応

インシデント管理の手順を列挙して説明します。 CISSP のセキュリティ運用ドメインには、検出、対応、封じ込め、報告、回復、修復、教訓などのインシデント管理手順がリストされています。インシデントが検出され証明された後の最初の対応は、証拠を保護しながらインシデントの範囲を制限または封じ込めることです。関連する法律によっては、組織は関連当局にインシデントを報告する必要がある場合があります。個人識別情報 (PII) が侵害された場合は、関係者に状況を通知する必要があります。修復と教訓の段階では、原因を特定し、インシデントの再発を防ぐための解決策を提案するための根本原因分析の実施が含まれます。

基本的な注意事項を学びましょう。基本的な予防策を講じることで、多くの事故の発生を防ぐことができます。これには、システムを最新の状態に保つこと、不要なプロトコルやサービスを削除または無効にすること、侵入検知および防御システムの使用、最新のシグネチャを備えたマルウェア対策プログラムの使用、ホストおよびネットワークベースのファイアウォールの有効化などが含まれます。

ホワイトリストとブラックリストの違いを理解します。ソフトウェア ホワイトリストは、リストにない他のソフトウェアがシステムにインストールされるのを防ぐために、承認されたソフトウェアのリストを提供します。ブラックリストは、リストにあるソフトウェアがシステムにインストールされるのを防ぐために、未承認のソフトウェアのリストを提供します。

サンドボックスについて学びます。サンドボックスは、サンドボックス内で実行されるコードがサンドボックス外の要素と対話するのを防ぐ分離された環境を提供します。

サードパーティが提供するセキュリティ サービスについて説明します。サードパーティのセキュリティ サービスは、組織が社内スタッフによって提供されるセキュリティ サービスを強化するのに役立ちます。多くの組織は、内部セキュリティを強化するためにクラウドベースのソリューションを使用しています。

ボットネット、ボットネット コントローラー、妨害者について学びます。ボットネットは多数のコンピュータを動員して攻撃を開始し、大きな脅威となる可能性があるため、ボットネットとは何かを理解する必要があります。ボットネットは、侵害されたコンピューティング デバイス (パペットまたはゾンビと呼ばれることが多い) の集合であり、ネットワークを形成し、ゾンビ ハーダーと呼ばれる犯罪者によって制御されます。ゾンビ飼育者は、C&C サーバーを通じてゾンビをリモート制御し、多くの場合、ボットネットを使用して他のシステムに攻撃を仕掛けたり、スパムやフィッシングメールを送信したりします。ゾンビ飼育者は、ボットネットへのアクセスを他の犯罪者にも貸し出します。

サービス拒否 (DoS) 攻撃について学びます。 DoS 攻撃は、システムが正当なサービス要求に応答することを妨げます。 TCP スリーウェイ ハンドシェイクを破壊する SYN フラッド攻撃は、一般的な DoS 攻撃手法です。基本的な予防策のおかげで、昔ながらの攻撃は現在ではあまり一般的ではなくなっていますが、新しい攻撃の多くは古い手法の単なるバリエーションであることが多いため、この分野では依然として疑問に直面するでしょう。 smurf 攻撃は、Fang Dawang を使用して、被害者に大量の応答パケットを送信します。 Ping of Death 攻撃は、非常に大きな ping パケットを多数の被害者に送信し、被害者のシステムをフリーズ、クラッシュ、または再起動させます。

ゼロデイエクスプロイトについて学びましょう。ゼロデイエクスプロイトとは、攻撃者以外には知られていない、限られた人だけが知っている脆弱性を悪用する攻撃です。表面的には、これは防ぐことができない未知のエクスプロイトのように見えますが、基本的なセキュリティ手順はゼロデイ エクスプロイトを防ぐのに非常に役立ちます。不要なプロトコルやサービスを削除または無効にすることで、システムの攻撃対象領域を減らすことができます。ファイアウォールは多くのアクセス ポイントをブロックでき、侵入検出および防御システムは潜在的な攻撃を簡単に検出してブロックできます。さらに、ハニーポットなどのツールを使用すると、アクティブなネットワークの保護にも役立ちます。

中間者攻撃について学びます。中間者攻撃は、意図的なユーザーが通信回線の 2 つのエンドポイント間の論理位置を占有することができる場合に発生します。攻撃者は中間者攻撃を完了するために多くの複雑なことを行う必要がありますが、攻撃から取得するデータの量も非常に多くなります。

侵入検知と侵入防御について学びます。 IDS と IPS は、攻撃に対する重要な検出および防止ツールです。知識ベースの検出 (Anti-Aware Signature Library と同様のデータベースを使用) と動作ベースの検出の違いを理解する必要があります。動作ベースの検出では、まず正常な動作を識別するためのベースラインを作成し、次にさまざまなアクティビティをベースラインと比較して異常なアクティビティを検出します。ネットワークが変化するとベースラインが古くなる可能性があるため、環境が変化したらすぐにベースラインを更新する必要があります。

IDS/IPS の応答を理解します。 IDS は、ログを記録して通知を送信することによって受動的に応答することも、環境を変更することによって積極的に応答することもできます。アクティブ IDS を IPS と呼ぶ人もいます。ただし、トラフィックを伝送するインライン回線に配置された IPS は、ターゲットに到達する前にトラフィックを傍受する可能性があることを認識することが重要です。

HIDS と NIDS の違いを学びます。ホストベースの IDS (HIDS) は、単一システム上のアクティビティのみを監視できます。欠点は、攻撃者がそれらを発見して無効にする可能性があることです。ネットワークベースの IDS (NIDS) は、ネットワーク上のアクティビティを監視でき、攻撃者には認識されません。

ハニーポットとハニーネットについて説明します。ハニーポットは、多くの場合、偽の欠陥や偽のデータを使用して侵入者をおびき寄せるシステムです。ハニーネットは、ネットワーク内の 2 つ以上のハニーポットです。管理者は、攻撃者がハニーポット内にいる限り、アクティブなネットワーク上には存在しません。

悪意のあるコードをブロックする方法を学びます。いくつかのツールを一緒に使用すると、悪意のあるコードをブロックできます。その中でも、すべてのシステム、ネットワーク境界、電子メール サーバーにインストールされ、最新の定義が装備されているマルウェア対策プログラムが最も明白なツールです。ただし、最小特権の原則などの基本的なセキュリティ原則に基づいたポリシーを使用すると、一般ユーザーが悪意のある可能性のあるソフトウェアをインストールすることを防ぐこともできます。さらに、攻撃者がウイルスを拡散させるために一般的に使用するリスクと手法についてユーザーを教育することは、ユーザーが危険な行動を理解し、回避するのにも役立ちます。

ログ ファイルの種類を理解します。ログデータはデータベースや各種ログファイルに記録されます。一般的なログ ファイルには、セキュリティ ログ、システム ログ、アプリケーション ログ、ファイアウォール ログ、エージェント ログ、および変更ログが含まれます。ログ ファイルは一元的に保存し、アクセス許可を制限して保護する必要があります。一方、アーカイブされたログは改ざんを防ぐために読み取り専用に設定する必要があります。

テストとテスト ツールの使用目的について学びます。検出室は、ログ ファイル データを積極的にレビューする監査形式に重点を置いています。検出は、対象者の行動に対する責任を追及し、異常なアクティビティまたは悪意のあるアクティビティを検出するために使用されます。インストルメンテーションは、システム パフォーマンスの監視にも使用されます。 IDS や SIEM などの監視ツールは、ネットワーク内の状況、ネットワークに入る通信フロー、ネットワークから出る通信フローの監視など、イベントを自動的かつ継続的に監視し、リアルタイムで分析できます。ログ管理には、分析ログとアーカイブ ログが含まれます。

監査証跡を解釈します。監査証跡は、イベントとそれを取り巻く状況に関する情報が 1 つ以上のデータベースまたはログ ファイルに書き込まれるときに作成されるレコードです。監査証跡は、イベントの再構築、イベントに関する情報の抽出、有罪の証明、または告発の反論に使用できます。監査証跡の使用は、検出的なセキュリティ制御を実装する受動的な形式です。監査証跡は犯罪者を訴追するための重要な証拠でもあります。

責任を持ち続ける方法を学びましょう。監査の使用を通じて、個々の関係者に対する説明責任を維持できます。ログにはユーザーのアクティビティが記録され、ユーザーは記録されたアクションに対して責任を負います。これは、ユーザーが正しい行動習慣を身につけ、組織のセキュリティ ポリシーに準拠することを促進する上で直接的な役割を果たします。

サンプリングとせん断について学びます。サンプリングはデータ抽出とも呼ばれ、大量のデータから特定の要素を抽出して意味のある概要や要約を形成するプロセスを指します。統計的サンプリングでは、正確な数学関数を利用して、大量のデータから意味のある情報を抽出します。クリッピングは非統計的サンプリングの形式として機能し、しきい値を超えるイベントのみを記録します。

脅威フィードと脅威ハンティングについて説明します。脅威フィードは、組織に生データの安定したストリームを提供します。脅威フィードを分析することで、セキュリティ管理者は現在の脅威の状況を理解できます。その後、この情報を使用してネットワークを検索し、これらの脅威の兆候を見つけることができます。

機械学習 (ML) と人工知能 (AI) の関係を理解し​​ます。 ML は AI のコンポーネントであり、システムの学習能力を指します。 AI は、ML を含む幅広いトピックです。

SOAR について学びましょう。 SOAR テクノロジーはイベントに自動的に応答できます。 SOAR の主な利点の 1 つは、管理者の作業負荷が軽減されることです。また、コンピューター システムの応答性を高めることで、人的エラーも排除します。

1.CISSP 目標にリストされている有効なインシデント管理ステップまたはフェーズは次のどれですか? （該当するものをすべて選択。） A. 予防 B.検出 C.レポート D. レッスンを要約する E. バックアップ

2. ユーザーのコンピュータの問題のトラブルシューティングを行っています。ホストベースの侵入検知システム (HIDS) ログをチェックして、次のことを確認します。 このコンピュータはマルウェアによって侵害されていることが判明しました。次に、次のオプションのうちどれを選択する必要がありますか? A. コンピュータをネットワークから隔離する B. 近くのコンピューターの HIDS ログを表示する C. ウイルス対策スキャンを実行する D. システムを分析して、どのように感染したかを調べる

3. (ISC)2 によって提案されたインシデント管理手順のうち、最初に実行する必要がある手順はどれですか? 応答 B. 抑制する C. 救済策 D.検出

4. 次のオプションのうち、多くの攻撃を防ぐことができる基本的なセキュリティ制御はどれですか? (3つを選択してください。) A. システムとアプリケーションを常に最新の状態に保つ B. セキュリティ オーケストレーション、自動化、および応答 (SOAR) テクノロジーを実装する C. 不要なサービスまたはプロトコルを削除または無効にする D. 最新のスパム対策ソフトウェア プログラムを使用する E. 国境でWAFを使用する

5.セキュリティ管理者は、イベント ログによって収集されたすべてのデータを確認しています。このデータ本体を最もよく表すものは次のうちどれですか? A. 識別 B. 監査証跡 C. 認可 D.機密保持

6. ネットワーク上のファイル サーバーが最近クラッシュしました。調査の結果、ログが増大しすぎてハードドライブ全体がいっぱいになったことが判明しました。この問題が再発するのを防ぐために、ローリング ログを有効にすることにしました。最初にとるべきステップは次のうちどれですか? A. 古いエントリが自動的に上書きされるようにログを設定します。 B. 既存のログを別のドライブにコピーする C. ログで攻撃の兆候を探す D. 最も古いログエントリを削除する

7。攻撃者がシステムにフラグル攻撃を仕掛けた疑いがあります。 fraggle で使用されるプロトコルを使用してログを確認し、検索をフィルタリングします。フィルタではどのプロトコルを使用しますか? A. ユーザー データグラム プロトコル (UDP) B. 伝送制御プロトコル (TCP) C. インターネット制御メッセージ プロトコル (ICMP) D. セキュリティ オーケストレーション、自動化、および対応 (SOAR)

8. セキュリティ管理者トレーニング マニュアルを改訂して、ゼロデイ エクスプロイトに関する内容を追加しています。ゼロデイエクスプロイトを最もよく説明しているのは次のうちどれですか? A. パッチや修正がまだ提供されていない脆弱性を悪用する攻撃 B. パッチやホットフィックスがまだ提供されていない、新たに発見された脆弱性 C. 既製のパッチを適用していないシステムへの攻撃 D ユーザーがアプリケーションを起動した後にペイロードをドロップするマルウェア

9 組織のユーザーは、通常はアクセスできるいくつかの Web サイトにアクセスできないと苦情を申し立てました。トラブルシューティングを通じて、侵入防止システム (IPS) がトラフィックを傍受しているが、トラフィックに悪意がないことがわかりました。これは何に属しますか？ 偽陰性 B. ハニーネット C. 偽陽性 D.サンドボックス

10. 新しい侵入検知システム (IDS) をインストールしています。 IDS では、完全に実行する前に、一連のベースラインを作成する必要があります。 この IDS を最もよく説明しているのは次のうちどれですか? A. パターンマッチング DDS B. 知識ベースの DDS C署名ベースの1S D. 異常ベースの DDS

11. 管理者は侵入検知システムを実装します。インストールされると、システムはすべてのトラフィックを監視し、疑わしいトラフィックが検出された場合はアラートを生成します。このシステムを最もよく説明しているのは次のうちどれですか? A. ホストベースの侵入検知システム (HIDS) B. ネットワークベースの侵入検知システム (NIDS) C.ハニーネット D.ネットワークファイアウォール

12. あなたは、管理者がネットワーク上のインシデントを減らすことを望んでいるシステムを導入しています。 setup ディレクティブでは、すべてのトラフィックが内部ネットワークに到達する前にインライン回線を通過する必要があるように、トラフィックを伝送するインライン回線上でセットアップ ディレクティブを構成する必要があります。このシステムを最もよく表すのは次の選択肢のうちどれですか? ^.ネットワークベースの侵入防御システム (VIPS) B. ネットワークベースの侵入検知システム (NIDS) C. ホストベースの侵入防御システム (HIPS) D. ホストベースの侵入検知システム (HIDS)

13. ユーザーのシステムにアプリケーションをインストールした後、スーパーバイザは、アプリケーションがシステムのリソースの大部分を消費するため、アプリケーションを削除する必要があると指示します。次の防止システムのうち、インストールしている可能性が最も高いものはどれですか? A. ネットワークベースの侵入検知システム (NIDS) B. Web アプリケーション ファイアウォール (WAF) C．セキュリティ情報およびイベント管理 (SIEM) システム D. ホストベースの侵入検知システム CHIDS)

14. 故障したスイッチを交換しています。元のスイッチの設定ファイルは、特定のポートをミラー ポートとして設定する必要があることを示しています。このポートに接続するネットワーク デバイスは次のうちどれですか? A. 侵入防御システム (PS) B. 侵入検知システム (IDS) C.ハニーポット Dサンドボックス

15 ネットワーク デバイスには、ネットワーク ベースの侵入検知システム (NIDS) が装備されています。その後、セキュリティ管理者はインターネット上で攻撃があったことを発見しましたが、防災研究所は警告を発しませんでした。これは何に属しますか？ A. 誤検知 B. 偽陰性 C. フラグル攻撃 D.スマーフの攻撃

16 経営陣は、新たなセキュリティ脅威を検出するために侵入検知システム (IDS) の追加を要求しました。学生が選択できるのは次のうちどれですか? A. 署名ベースの IDS B. 異常ベースの IDS C. アクティブ IDS D. WebベースのIDS

17. あなたが働いている組織は、最近、監視用の一元管理アプリケーションを導入しました。この状況は、次の元のアイテムを最もよく表していますか? A. ソア B. シェム C.HIDS D. 脅威フィード

18. 最近の攻撃の後、経営陣はデータ侵害を防ぐためにポータル監視システムを導入することを決定しました。最良の選択肢は次のうちどれですか? A.NIDS B.NIPS C. ファイアウォール D.DLPシステム

19. セキュリティ管理者は定期的に脅威フィードを確認し、この情報を使用してネットワーク内のシステムを検査します。彼らの目標は、既存のツールでは検出されなかった感染や攻撃を検出することです。この状況に最も当てはまる説明は次のうちどれですか? A. 脅威ハンティング B. 脅威インテリジェンス C. キルチェーンを実行する D. 人工知能の活用

20. 管理者は、侵入検知システムからのアラートを確認するために同じ手順を繰り返し実行したり、既知の攻撃を抑制するために他の繰り返しの手順を実行したりしていることに気づきました。これらの手順を自動化するオプションは次のどれですか? A. ソア B. シェム C.NIDS D.DI