23. 凌晨,一台置於公司內未關閉的筆電出現異常行為,但 尚未觀察到明顯的內部網路連線異動。該裝置持續產生不尋常的程序啟動、記憶體 注入行為,並嘗試修改系統設定。若希望快速確認端點是否已遭入侵,並即時降低風 險,下列何項設計最「無法」帶來實質效益?
(A)透過 NDR 觀察是否存在異常網路通訊
(B) 由 SOC 逐一檢查系統日誌
(C) 將事件送交 XDR 進行跨來源關聯分析
(D)以 EDR 的端點行為分析與即時回應功能作為主要處置手段
統計: A(41), B(39), C(8), D(10), E(0) #3871558
詳解 (共 1 筆)
為什麼 (A) 最「無法」帶來實質效益?
技術盲點:題目已經挑明說了 「尚未觀察到明顯的內部網路連線異動」。
工具特性:NDR(網路偵測與回應)的核心功能是監控與分析「網路流量與通訊行為」。此時該裝置的異常完全集中在主機內部的程序與記憶體操作,此時如果還透過 NDR 去觀察是否存在異常網路通訊,根本抓不到東西,對於「快速確認端點是否遭入侵」與「即時降低風險」完全沒有實質效益。
? 其他選項為什麼可以帶來效益?
(B) 由 SOC 逐一檢查系統日誌
分析:雖然「逐一檢查」聽起來很慢,但情境中提到「此時是凌晨,由外部 MDR 服務商提供 24x7 的即時監控與回應支援」。當端點出現修改系統設定等高風險行為時,SOC/MDR 團隊確實會第一時間跳進去複查該主機的日誌、確認觸發告警的行為是否為真實攻擊。因此,這屬於合規事件應變(IR)程序的一環。
(C) 將事件送交 XDR 進行跨來源關聯分析
分析:情境前言提到「建置 XDR 平台,將來自端點、網路與身分相關的安全事件集中分析」。XDR 可以結合這台筆電的 EDR 數據、帳戶登入時間等跨維度資訊進行關聯,幫助資安人員快速梳理出這起凌晨攻擊的脈絡(例如:是否伴隨帳號憑證竊取),極具實質效益。
(D) 以 EDR 的端點行為分析與即時回應功能作為主要處置手段
分析(這是最能帶來實質效益的作法):異常行為完全屬於端點主機層面(程序啟動、記憶體注入)。此時利用 EDR 的行為分析能最快確認入侵,且 EDR 具備**「即時回應」功能(如:遠端將該主機網路隔離、終止惡意程序)**,能完美達成題目要求的「即時降低風險」。