https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000008smf-att/2022r04a_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[運用サービスの利用]
K社は、 マルウェアをより早期に検知するために有効かどうかを確認しようと考え、表4のサービスについての当初の方針を変えて、3か月ほど試験的にP社の運用サービスと監視サービスを利用することにした。P社は、まず、④マルウェアβと同じ手段による感染の拡大を検知するための検知ルールを作成して製品Cに登録した。その後2週間、Vソフトの正常なデータファイルを開くといった、 PCの通常利用に起因する誤検知が起きないか確認を続けた。
サービス利用開始から1か月後、ある従業員がメールに添付されていたVソフトのデータファイルを開いて、マクロを実行した直後にマルウェアβの亜種を検知することができた。さらに、E体制のメンバーが直ちに必要な対応を指示することによって被害の拡大も防ぐことができた。
下線④について、作成した検知ルールを60字以内で答えよ
Vソフトのデータファイルが読み込まれた後に、1分以内に、パス名が同一のファイルが上書きされた。
P社は、まず、④マルウェアβと同じ手段による感染の拡大を検知するための検知ルールを作成して製品C
ルールを作ることが解答となるので、参考になりそうなルールをみつけると
「何らかのファイルが読み込まれた後、1分以内に、同一のサイズのファイルがHTTPでアップロードされた。」
感染すると1分以内にファイルが保存されるような挙動を示している
Vソフトのデータファイルが読み込まれた後に、1分以内に、パス名が同一のファイルが上書きされた。とすると検知してくれる条件に合致する。