10. 安全營運中心(SOC)接獲終端偵測與回應(EDR)警報，指出某個人電腦端點可能執行 Cobalt Strike Beacon。為在不影響業務的前提下「快速遏制」並「保全證據」，第一時間最適合採取下列何項作法？
(A) 立即關閉端點電源
(B) 啟動端點重灌電腦
(C) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像
(D) 啟動端點防毒進行全碟掃描

這題答案是 (C) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像 ✅

詳細解析

1. 情境重點

   • EDR 警報 → Cobalt Strike Beacon → 高度懷疑已經被入侵並建立 遠端控制通道 (C2)。

   • 要求：「快速遏制」＋「保全證據」＋「不影響業務過多」。

   • 所以要兼顧：

     • 阻止攻擊者繼續橫向移動／滲透

     • 保留記憶體與磁碟證據，供後續鑑識與調查

1. 逐一分析選項

• (A) 立即關閉端點電源

  • ❌ 不建議：因為 RAM 會瞬間消失，Cobalt Strike Beacon 這類惡意程式常駐於記憶體，關機會讓證據喪失。

• (B) 啟動端點重灌電腦

  • ❌ 這是後續「恢復」的步驟，不是第一時間「遏制＋保全證據」的行動。

  • 直接重灌會讓所有證據消失，違反 IR 流程原則。

• (C) 隔離端點網路，並同時擷取 RAM 與磁碟的鑑識鏡像

  • ✅ 正解：

    • 隔離網路 → 切斷攻擊者的 C2 連線，防止惡意活動擴散。

    • 擷取 RAM → 保存記憶體中 Beacon、惡意程序、連線、加密金鑰等資訊。

    • 擷取磁碟鏡像 → 保存持久化手法、惡意檔案、日誌等證據。

    • 同時兼顧「遏制」與「證據保全」。

• (D) 啟動端點防毒進行全碟掃描

  • ❌ 風險大：防毒掃描可能 刪改惡意檔案或行為紀錄，導致證據不完整。

  • 另外，全碟掃描會耗時且可能影響業務。

1. 考點總結

• 事件回應（Incident Response, IR）流程 → 「遏制 (Contain) → 根除 (Eradicate) → 復原 (Recover)」。

• 第一時間的目標：阻止威脅持續蔓延，同時保留可供調查的證據。

• 因此答案是 (C)。