MENU

会員登録（無料）

PSOE#1(incident-response)

この問題のディスカッション

PSOE#1(incident-response)

SOC アナリストが Google SecOps Cases で新規ケースを受領しました。アラートは EDR からのマルウェア検知で、感染ホストは経理部門の業務 PC です。最初に実施すべき対応はどれですか。

A. ケース全体に紐づく Playbook を手動で停止し、SOAR の自動アクションをすべて無効化して様子を見ます。
B. ケースの優先度を確認し、ステータスを Opened に遷移して担当者をアサインします。
C. 感染ホストを直ちにシャットダウンし再起動して、メモリ上で動作するマルウェアプロセスを物理的に除去します。
D. 感染ホストを物理的に LAN ケーブルから外し、フォレンジック調査をすべて後回しにして再構築を急ぎます。

正解と解説ディスカッション 0

正解：B

正解の根拠

Google SecOps Cases ではトリアージの第一歩としてケースの優先度を確認し、ステータスを New から Opened に遷移して担当者を割り当てます。これにより SLA 計測が開始され、後続の封じ込めや調査が追跡可能になります。

ステップ	操作
1	Priority 確認
2	Status を Opened へ
3	Assignee 設定

不正解の理由

A: Playbook 全停止はトリアージ前の判断としては過剰な対応です。
C: 即時再起動は揮発性証拠を消失させ、初動として不適切です。
D: 物理切断とフォレンジック軽視は証拠保全の原則に反します。

参考：Work with cases

コメント

コメント

コメントするコメントをキャンセル