PSOE#3(threat-hunting)
過去に作成済みの YARA-L 検知ルールを、新たに収集された 30 日分のログにも遡及的に適用したい場合、どの機能を使うべきですか。
正解:D
正解の根拠
Retrohunt は既存のルールを過去ログに対して再実行する機能で、新規ルールやチューニング後のルールの過去適用に使用します。
| 用途 | 機能 |
|---|---|
| 過去ログへのルール再適用 | Retrohunt |
| 正規化済み履歴検索 | UDM Search |
不正解の理由
- A: Pivot は検索結果からの分岐操作で過去ルール適用ではありません。
- B: Raw Log Scan は文字列検索でルール適用機能を持ちません。
- C: Entity Highlights はエンティティ概要表示で遡及実行はできません。
参考:Retrohunt
コメント