PSOE#3(detection-engineering)
match セクションを使用して 10 分間に複数回発生するブルートフォースを検知する場合、正しい記述に該当するものを 2 つ選んでください。
(2つ選択)
正解:A, B
正解の根拠
match セクションは集約のキーと時間ウィンドウを宣言する場所であり、condition セクションで $event#count などの集計値に対する閾値判定を行います。
| セクション | 役割 |
|---|---|
| match | キーと時間ウィンドウ |
| condition | 閾値判定 |
不正解の理由
- C の outcome は付加情報の算出には使えますが、検知の必須要素ではありません。
- D は events セクションに match キーワードは存在せず、構文として誤りです。
コメント