ドメイン7からインシデント対応プロセスにおける検知に関する問題です。
セキュリティインシデントを検知するために、組織はどのような手段を使用するべきですか?
a. インシデントを手動で報告する
b. SIEMツールを使用してログを監視する
c. セキュリティアナリストによる手動監視
d. ファイアウォールのログを毎日確認する
正解:b
正答が正しい理由
SIEMツールはセキュリティインシデントを検知し、アラートや信号を生成するための効果的なツールです。ログの監視を自動化し、検知速度を向上させる役割を果たします。
他の選択肢が間違っている理由
a. インシデントの手動報告は遅延が生じる可能性があり、即座な対応が難しいです。
c. セキュリティアナリストによる手動監視も一環として重要ですが、自動化された手段も必要です。
d. ファイアウォールのログだけでは総合的なセキュリティ検知が難しく、SIEMがより包括的な検知を提供します。
多くのネットワーク機器やエンドポイント、サーバが接続されているエンタープライズネットワークではイベントは大量に発生します。それらの中からセキュリティインシデントに対して即時にアラートを上げるためには手動での対応は難しくなってきています。SIEMツールを利用してイベントを1カ所に収集し自動フィルタなどを利用してこの作業を自動化する必要があります。
