https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_sc_pm1_qs.pdf
以下のおすすめ問題の解説となります。
良書。
【インシデント対応手順の改善】
報告書を読んだE部長は、他社での標的型攻撃への対応事例と比較すると、対応が不十分であると考えた。次は、E部長とGさんの会話である。
E部長:ほかにも マルウェアMに感染したPC又は サーバがある場合を想定する必要があるのではないか。
Gさん:13:27以降、Pサービスから新たな通知は来ていません。感染したのは、L-PCだけと考えてよいのではないでしょうか。
E部長:13:17:15より前の、ログ蓄積サーバ中のFWのログに(e)が含まれているかどうかを確認する必要がある。
Gさん:分かりました。早速確認します。
E部長:ただし、①PC又はサーバの状態によっては、FWのログを使った確認ではマルウェアMに感染していることを検知できないことがあるので、②Rログを使った確認もする必要がある。
Gさん:分かりました。
Gさんは、ログを確認し、感染したPC又はサーバは、ほかに発見されなかったという結果をE部長に報告した。E部長は、マルウェアに感染したPC又はサーバを特定するためのログの調査手順を、インシデント対応手順に追加するようGさんに指示した。これによって、J社ではインシデント対応手順を更に改善することができた。
e:IPアドレスw1.x1.y1.z1との通信履歴
CCサーバへの通信が他にも起きてなかったか過去にさかのぼってみたほうがよいってことなので、IPアドレスw1.x1.y1.z1との通信履歴が答えとなる
①について、検知できないのはPC又はサーバがどういう状態にある場合か。40字以内で述べよ
感染したが、C&Cサーバと通信する前にネットワークから切り離された状態などになると検知できない。
②について、マルウェアMに感染しているPC又はサーバをRログを使って検知する方法を、30字以内で具体的に述べよ。RログをマルウェアMのハッシュ値で検索する。