もうぜんぜん速報じゃないよう…でも解いたの勿体無いから投稿します。
今更だし間違ってるかもしれません。気がついたら指摘していただけると幸いです。
問題文はここ
問2
設問1
(1)a:イ b:エ(順不同)
⇒https://www.ipa.go.jp/files/000025341.pdf
(2)c:ケ d:ウ e:コ
設問2
(1)
f:取得するログの種類
g:取得する対象の機器
h:保存期間
(2)
i:完全性 j:確保
⇒ハッシュ値を保全する とか
タイムスタンプを確保する とかいくらでも言い方ありそうだけど…違うかなあ
…まあ一番広い意味の言い方で…
(3)通常状態から逸脱した際アラートを上げ異常を早期発見できるようにする
⇒え…具体的に述べよってどういうこと…?
設問3
(1)プロキシサーバに残されたログのうちサイトMのIPアドレス宛に接続しているものを探し接続元IPアドレスから端末を特定する
⇒こんなに丁寧に説明しなくても解るだろ普通と思いつつ
具体的に述べよシリーズなので丁寧に答えてみた。
P15の記述でPCには固定のIPアドレスが振られていることがわかるのでDHCPとか見る手間がなくてよかったね
(2)
HTTPリクエスト:IPnのサイトにアクセスし指定のファイルを送信する
HTTPレスポンス:IPnのサイトの指示に従う
⇒表1そのまんまじゃないか。答え方がよくわからない。C&Cサーバとの通信なんだろう
(3)
問題:マルウェアが異常を検知して証拠を消してしまうことがある
措置:フォレンジックの手法を用いてハードディスクのイメージコピーをとり証拠を保全する
⇒何この具体的に述べよ地獄…
(4)プロキシサーバのログのうちIPnのサイトに接続したものが他にないこと
(5)7回
(6)ハッシュ値
(7)行番号:28行目
⇒9月8日3時35分以降でPOSTメソッドが使われてるやつ
役立つ情報:FWのドロップログ
⇒送信データ量って答えもあるんじゃないかとか思っているが
設問3長すぎ!役立つってなんだ知るか!(←飽きてきた)という気持ちになってきたので
適当に答え。現にPC-Bは守られてたわけだし…
設問4
(1)ア:9/4 14:31 イ:9/4 14:37 ウ:9/5 10:41
(2)m:タ n:エ o:ソ p:ケ q:シ r:カ s:オ
(3)b
インシデント対応の作業手順を明確化し文書にする
