令和6年秋の過去問の問1の解説をします。
題材はインシデントレスポンスです。
では早速解説に移ります。
【情報処理安全確保支援士 オススメ書籍】
セキュリティについてが細かく解説されています。
テキストで学習した後すぐに問題を解ける構成になっているので効率よく勉強できます。
また午後問題もいくつか掲載されていて、解説までついてきます。
ダウンロード特典もあるので非常にオススメの一冊!!
【情報処理安全確保支援士 オススメ書籍】
午後試験に関してはこの『重点対策』が一番だと思います。
試験の解き方から勉強方法、セキュリティについての細かい解説が紹介されています。
午後対策で迷ったらまずはこの1冊を手にとって勉強してみることをおすすめ!
問1
(1)他に感染が疑われるホスト名
PC-C
PC-Cに対してRDPでの接続が許可されているため。
(2)送信された可能性のあるファイルがあるホスト名
filesv
filesvにアクセスしたログがある。
(3)アカウント名
ad01\user019
ログにドメインアカウントが記録されている。
(4)ドメインサーバでの対策
無効化
ドメインを無効化するのが一番有効で速い。
(5)プロキシサーバでの対策
全てのドメインユーザに対して、https://△△△.com、https://□□□.comを管理者距離リストに登録する
ログに残された「https://△△△.com、https://□□□.com」のサイトについてアクセスを拒否する必要がある。
(6)プロキシサービスでの通信ログから調査
https://○○○.com、https://△△△.com、https://□□□.comに通信したL社内ホストがないか調査する
マルウェアに感染したPC-Aは「https://○○○.com、https://△△△.com、https://□□□.com」と通信をしているので、L社内のホストで他に通信していないか調査する必要がある。
(7)ps1ファイルの追加調査
タスク名がinstallであるタスクが登録されているL社内ホストがないかを調査する
i.ps1ファイルはログオン時に実行されるため、まだログオンされていないL社ホストを調査する必要がある。
(8)マルウェアの活動を自動的に検出する新たな仕組み
マルウェア対策サービスのログから、マルウェア対策ソフトが停止したL社内ホスト検出する
ドメインサーバのログから、RDP接続を繰り返しているL社内ホストを検出する
マルウェアの特徴として、マルウェア対策ソフトを停止したり、RDP接続を繰り返したりするため、それらの監視を行うと早期発見につながる。
問2
技術的対策(e)
仮想PCへのRDP接続に対して、IPアドレスによる接続元制限を行う
マルウェアはRDPによって感染を繰り返したので、仮想PCに対してRDPの接続を制限する必要がある。
技術的対策(f)
L社内にDLPを導入し、ファイルの持ち出しを制限する
DLPという企業の機密情報を外部に持ち出せないようにするツールがあるので、それを導入して制限する方法があります。
関連記事
コメント