SPLK-5001 문제 1
초기 조사에서 놓친 일부 이벤트를 발견한 후 분석가는 일부 이벤트에 src 필드가 비어 있기 때문이라고 판단합니다. 대신 필요한 데이터는 종종 machine_name이라는 다른 필드에 캡처됩니다.
필드 추출이 수정될 때까지 두 필드에서 모든 관련 이벤트를 찾는 데 사용할 수 있는 SPL은 무엇입니까?
필드 추출이 수정될 때까지 두 필드에서 모든 관련 이벤트를 찾는 데 사용할 수 있는 SPL은 무엇입니까?
SPLK-5001 문제 2
가설 기반 위협 사냥과 데이터 기반 위협 사냥의 주요 차이점은 무엇입니까?
SPLK-5001 문제 3
다음 단계별 설명은 무엇의 예입니까?
1. 공격자는 Cobalt Strike를 이용해 기본이 아닌 비콘 프로필을 고안해 문서에 내장합니다.
2. 공격자는 타겟에 대한 광범위한 조사를 바탕으로 악성 문서가 포함된 고유한 이메일을 생성합니다.
3. 피해자가 이 문서를 열면, 침해된 웹사이트에 있는 공격자의 임시 인프라로의 C2 채널이 설정됩니다.
1. 공격자는 Cobalt Strike를 이용해 기본이 아닌 비콘 프로필을 고안해 문서에 내장합니다.
2. 공격자는 타겟에 대한 광범위한 조사를 바탕으로 악성 문서가 포함된 고유한 이메일을 생성합니다.
3. 피해자가 이 문서를 열면, 침해된 웹사이트에 있는 공격자의 임시 인프라로의 C2 채널이 설정됩니다.
SPLK-5001 문제 4
성공적인 지속적인 모니터링 이니셔티브에는 조직 전체가 포함됩니다. 분석가가 추가 데이터 소스나 변경된 상관 관계 규칙에서 더 많은 맥락이나 추가 정보가 필요하다는 것을 발견하면 이 요청은 일반적으로 어떤 역할로 확대될까요?
SPLK-5001 문제 5
조직의 보안 포스처에 대한 분석 결과 특정 자산이 위험에 처해 있으며 이를 보호하기 위해 새로운 프로세스나 솔루션을 구현해야 한다는 것이 확인되었습니다. 일반적으로 선택된 새로운 프로세스나 솔루션을 구현하는 책임자는 누구일까요?