MENU

会員登録（無料）

PSOE#5(threat-hunting)

この問題のディスカッション

PSOE#5(threat-hunting)

仮説駆動型ハンティング（Hypothesis-driven hunting）を Google SecOps で実施する際、適切な手順を 2 つ選んでください。

（2つ選択）

A. MITRE ATT&CK の特定 TTP に基づき仮説を定義する
B. 全アラートを無効化してから探索する運用にして、既存の検知ロジックの影響を排除した状態で仮説駆動型ハンティングを実施し、その後にアラートを順次再有効化する手順を採ります
C. UDM Search の Aggregation で仮説を裏付ける証跡を集計する
D. Curated Detection を全て削除し、ハンティング期間中は Google 提供のキュレーション検知に依存しない状態を作って独自の仮説検証だけを進める運用フローに切り替えます

正解と解説ディスカッション 0

正解：A, C

正解の根拠

仮説駆動型は ATT&CK などのフレームワークに基づき仮説を立て、UDM Search 等で証拠を収集する反復プロセスです。

ステップ	例
仮説設定	T1059 PowerShell 実行
証拠収集	UDM Search 集計

不正解の理由

B: アラートの無効化は検知体制を壊し業務影響が大きく不要です。
D: Curated Detection の削除は基本検知能力を失わせる危険な操作です。

参考：MITRE ATT&CK

コメント

コメント

コメントするコメントをキャンセル