PSOE#2(incident-response)
SOAR Playbook で「アナリストが対象ホストを隔離するか判断したうえで実行」したい場合、どのコンポーネントを使用しますか。
正解:B
正解の根拠
アナリストの判断を必要とする手順は Manual action または Approval step として Playbook 内に挿入します。Approval step は他者の承認を待ち、Manual action はアナリスト自身の操作を待機するため、両者の組み合わせで判断と実行を制御できます。
| 種類 | 用途 |
|---|---|
| Manual action | 担当者操作待ち |
| Approval step | 承認者待ち |
不正解の理由
- A: Trigger は起動条件で、人的判断の挿入用途には使えません。
- C: Loop は反復処理で、承認待ち制御の機構ではありません。
- D: リトライ回数の調整は人手判断の代替にはなりません。
コメント