← 試験一覧に戻る

Professional Security Operations Engineer

Question 1

あなたのチームは、ある大規模な多国籍企業のサイバーセキュリティを担当しています。組織の環境内で活動している可能性のある未知のコマンド&コントロール(C2)ノードを特定するタスクを任されました。次の24時間以内に、潜在的な一致リストを生成する必要があります。どうすべきでしょうか?

A.
Google Security Operations (SecOps) で、取り込まれた脅威インテリジェンスと過去のネットワークアウトバウンド接続をスキャンするルールを作成し、そのルールをテナント全体に対してレトロハントで実行する。
B.
ネットワークレコードをBigQueryにロードし、通常の3標準偏差を超えるドメインと通信しているエンドポイントを特定する。
C.
Security Command Center (SCC) で Security Health Analytics (SHA) の検出結果を確認する。
D.
Google Security Operations (SecOps) で、エンドポイントのネットワークトラフィックを、出現頻度の低いドメインや最近のWHOIS登録情報と比較するYARA-Lルールを作成する。
Question 2

あなたは、組織における脅威インテリジェンスとIOC(侵害の痕跡)リストの管理を担当しています。最近発生したインシデントからIOCのリストを作成しました。このIOCを他のチームと迅速かつ効率的に共有し、彼らの運用プロセスに統合して連携を図りたいと考えています。どうすべきですか?

A.
Google Security Operations (SecOps) でリストを作成し、他のチームに必要なアクセス権を付与する。
B.
Google Threat Intelligence から IOC を CSV または JSON 形式でエクスポートし、そのファイルを他のチームにメールで送信する。
C.
Google Threat Intelligence のコレクションに IOC を追加し、そのコレクションを他のチームと共有する。
D.
Google Threat Intelligence で新しい脅威グラフを作成し、そのグラフを他のチームと共有する。
Question 3

あなたは、サードパーティ製SIEM製品からGoogle Security Operations (SecOps) への移行を進めている組織のプラットフォームエンジニアです。以前のSIEMでは、Active Directory (AD) のユーザーやアセットのコンテキストデータに変更があるたびに、手動でADからデータをエクスポートし、ウォッチリストとしてインポートしていました。このプロセスをGoogle SecOpsで改善したいと考えています。どうすべきでしょうか?

A.
Google SecOps SOARとADのインテグレーションを構成し、セキュリティアラート内のユーザー/アセット情報をエンリッチします。
B.
ADのコンテキストデータを含む参照リストを作成します。YARA-Lルールでその参照リストを使用して、各セキュリティイベントのユーザー/アセット情報を見つけます。
C.
ADのコンテキストデータを含むデータテーブルを作成します。YARA-Lルールでそのデータテーブルを使用して、各セキュリティイベント内で相関付けできるユーザー/アセットデータを見つけます。
D.
ADの組織コンテキストデータをユーザー/アセットコンテキストとして取り込み、セキュリティイベント内のユーザー/アセット情報をエンリッチします。
Question 4

あなたの会社のSOCは最近、悪意のあるドキュメントの実行から始まったランサムウェアインシデントに対応しました。EDRツールによって初期感染は封じ込められましたが、その後も複数の特権サービスアカウントが、クレデンシャルダンピングやスケジュールされたタスクの作成といった異常な振る舞いを続けていました。将来の同様の攻撃に対して、滞留時間(dwell time)を最小限に抑え、封じ込めを加速させるために、Google Security Operations (SecOps) SOARで自動化されたプレイブックを設計する必要があります。封じ込めとエスカレーションをサポートするために、Google SecOps SOARプレイブックで実行すべきアクションはどれですか?

A.
エンティティのリスクに基づいて、権限の高いアカウントのOAuthトークンを失効させ、セッションを一時停止するステップを設定する。
B.
封じ込めアクションを実行する前に、アナリストがアラートを検証することを要求する承認ステップを追加する。
C.
wscript.exeなどのスクリプトエンジンを使用してドキュメントが実行されたときにアラートを送信するYARA-Lルールを追加する。
D.
フォレンジックアーティファクトからハッシュを送信するために、VirusTotalへの外部API呼び出しを作成する。
Question 5

あなたのチームは、大規模な多国籍企業で脅威ハンティングを担当しています。サードパーティソースからの脅威インテリジェンスフィードを購読しています。エンドポイントでのDNS呼び出しを、これらの脅威インテリジェンスフィードと継続的に比較するソリューションを実装したいと考えています。どうすべきでしょうか?

A.
Security Command Center (SCC) の Event Threat Detection でカスタムモジュールを使用して、フィードデータを Google Cloud のログと関連付けます。
B.
エンドポイントのログを BigQuery にプッシュし、スクリプトと Google Threat Intelligence API キーを使用して、エントリを Google Threat Intelligence と比較します。
C.
Google Security Operations (SecOps) で YARA-L ルールを作成し、取り込まれた EDR ログエントリとエンティティグラフ間の一致を追跡します。
D.
Google Security Operations (SecOps) で YARA-L ルールを作成し、取り込まれた EDR ログエントリとエンティティグラフ内の VirusTotal テーブル間の一致を追跡します。
185問中 1-5問目
12345次へ最後へ