HOME
Lv019

「Lv019」の記事一覧

NTFSの「$Standard_Information」属性と「$File_Name」属性のタイムスタンプが大きく乖離している場合に疑われるのはどれか。

$Standard_Informationはツールで変更しやすいが、$File_NameはOSによって更新されるため偽装の検知に役立…

2026年3月7日

「HTTP 404 Not Found」が特定のディレクトリに対して短時間に大量発生しているログが示す可能性が高い行為はどれか。

攻撃者がサーバー上の隠しディレクトリやファイルを特定するためにスキャンツールを使用している兆候であ…

2026年3月7日

「Event ID 4688」のログに含まれる情報で、攻撃の親子関係を特定するために重要な項目はどれか。

このIDを確認することで、どの親プロセスが不正な子プロセス（例：wscript.exeからpowershell.exe等）を起…

2026年3月7日

Volatilityでプロセスが保持している「特権（Privileges）」の有効/無効状態を確認するコマンドはどれか。

攻撃者がデバッグ権限（SeDebugPrivilege）などを有効化して権限昇格を図っていないかを確認できる。

2026年3月7日

Windowsで権限昇格を防ぐために、特権が必要な操作を行う際にユーザーに許可を求める機能はどれか。

UACは、管理権限が必要な変更が行われる際にダイアログを表示し、マルウェアによる勝手な実行を抑制する。

2026年3月7日

インシデント対応チーム（CSIRT）において、法務や広報、経営陣との橋渡しを行う役割は何。

インシデントコマンダーは、対応全体の指揮を執り、組織内外のステークホルダーと調整を行う。

2026年3月7日

外部の攻撃グループの情報を収集・分析し、自組織への影響を予測するアナリストを何と呼ぶか。

脅威インテリジェンスアナリストは、攻撃者の意図や手法を分析し、予防的な対策を立案する。

2026年3月7日

コンテナ内で実行されているプロセスの異常な挙動（例：想定外のバイナリ実行）を検知する技術はどれか。

CWPP（Cloud Workload Protection Platform）は、コンテナや仮想マシン内のワークロードを保護する。

2026年3月7日

TCPの3ウェイ・ハンドシェイクにおいて、クライアントが最初に送信するフラグはどれか。

TCP接続は、クライアントからのSYN（同期）パケットの送信によって開始される。

2026年3月7日

SIEMにおいて、時間軸上で発生する複数の独立したイベントを繋ぎ合わせ、1つの攻撃シナリオを導き出すことを何と呼ぶか。

相関分析（Correlation）は、一見無関係な複数のログから複雑な攻撃のパターンを特定する。

2026年3月7日