MENU

会員登録（無料）

PSOE#3(incident-response)

この問題のディスカッション

PSOE#3(incident-response)

本番サーバーで不審なファイル変更と外部 IP からのスキャンを検知しました。証拠を保全しつつ最初に脅威を封じ込める必要があります。実施すべきアクションを 2 つ選んでください。

（2つ選択）

A. EDR 統合を使用してホストを quarantine し、ネットワークから論理的に切り離します。
B. サーバーを即時シャットダウンし、ディスクをフォーマットしてから OS を再インストールしてサービスを再開する手順を取ります。
C. Firewall 統合で攻撃元 IP をブロックリストに追加します。
D. OS パッチを当ててから再起動し、その後アプリケーションログを目視で確認して問題なければ通常運用に戻します。
E. メールで全エンドユーザーに状況と原因の推定を通知し、対応完了予定時刻も併せてアナウンスします。

正解と解説ディスカッション 0

正解：A, C

正解の根拠

EDR quarantine は揮発性証拠を保ったままホストを論理隔離し、Firewall ブロックは攻撃元との通信を遮断します。両者は forensic data preservation を維持しつつ封じ込めを優先する組み合わせです。

対策	効果
EDR quarantine	論理隔離・証拠保持
Firewall block	攻撃元遮断

不正解の理由

B: シャットダウンとフォーマットは揮発性証拠を全消失させます。
D: パッチ適用と再起動は証拠を破壊し、封じ込めも遅れます。
E: 利用者通知は重要ですが、初動の封じ込め手段ではありません。

参考：SOAR integrations

コメント

コメント

コメントするコメントをキャンセル