MENU

会員登録（無料）

PSOE#2(threat-hunting)

この問題のディスカッション

PSOE#2(threat-hunting)

新たに公開された IOC（特定ハッシュ値）が、過去 90 日間の自社環境に出現していたかを Google SecOps で確認する最も適切な方法はどれですか。

A. 新しい YARA-L ルールを作成し live にする
B. Entity Explorer のダッシュボードを 90 日表示に切り替えてユーザーごとのログイン履歴を眺めて該当ハッシュを探す
C. UDM Search で target.file.sha256 を指定し時間範囲を 90 日に設定して検索する
D. Risk Analytics dashboard で UEBA スコアを確認する

正解と解説ディスカッション 0

正解：C

正解の根拠

UDM Search はハッシュ値を含む正規化済みフィールドに対して長期間の履歴ログ調査が可能で、IOC sweep に最も適しています。

調査対象	UDM フィールド
ファイルハッシュ	target.file.sha256
送信先 IP	target.ip

不正解の理由

B: Entity Explorer はエンティティ単位の参照で IOC の網羅検索に不向きです。
A: live ルールは将来の検知が中心で、過去調査には Retrohunt が必要です。
D: UEBA スコアはユーザー振る舞いの統計で IOC 一致確認には使えません。

参考：UDM Search

コメント

コメント

コメントするコメントをキャンセル