← 試験一覧に戻る

Professional Security Operations Engineer

Question 46

あなたは、組織全体の Google Cloud 環境から Google Security Operations (SecOps) に監査ログを取り込む必要があります。このプロセスには、指定されたフォルダ内のワークロードに関する Cloud NAT ログを含める必要があります。統合の複雑さを最小限に抑えながら、この取り込みを設定する必要があります。Google SecOps への Google Cloud データの取り込みはすでに有効化されています。次に何をすべきですか?

A.
フォルダレベルの Cloud NAT ログをエクスポートするためのカスタムフィルタを作成する。
B.
環境フォルダ内の各プロジェクトについて、プロジェクトレベルの Cloud NAT ログをエクスポートするためのカスタムフィルタを作成する。
C.
フォルダレベルで集約ログシンクを構成し、Cloud NAT ログを Pub/Sub にルーティングする。Google SecOps 用の Pub/Sub コネクタを有効にする。
D.
組織レベルで集約ログシンクを構成し、Cloud NAT ログを Cloud Storage バケットにルーティングする。Google SecOps 用の Cloud Storage コネクタを構成する。
Question 47

あなたは、Google Security Operations (SecOps) を利用している組織の SOC アナリストです。現在、組織の環境における不審なアクティビティを調査しています。Google SecOps のアラートによると、一連のエンドポイントで PowerShell のアクティビティが繰り返し発生していることが示されています。また、脅威インテリジェンスフィードには存在しないドメインへのアウトバウンド接続が確認されています。このアクティビティは複数のシステムとユーザーアカウントにまたがって発生しています。影響を受けたシステムとユーザーIDを横断的に検索し、悪意のあるユーザーを特定して侵害の範囲を把握する必要があります。何をすべきでしょうか?

A.
YARA-L 2.0 検索を実行して、影響を受けたシステムとユーザーのアクティビティを関連付けます。
B.
不審なドメイン文字列で生ログ検索を実行し、関連するユーザーアクティビティに手動でピボットします。
C.
ユーザーサインイン概要ダッシュボードを使用して、すべてのユーザーの認証傾向と異常を監視します。
D.
リスク分析の行動分析ダッシュボードを使用して、異常な IP ベースのアクティビティとリスクの高いユーザーの行動を特定します。
Question 48

あるSOCはChronicle SIEMを使用しており、検知範囲を狭めることなくアラート疲れを軽減したいと考えています。最善の戦略はどれですか?

A.
中程度の重要度のルールを無効にする
B.
アラートのしきい値を全体的に引き上げる
C.
リスクベースのアラートスコアリングとエンティティの相関付けを適用する
D.
アラートを営業時間内に限定する
Question 49

あなたは通信会社に勤務しており、複数リージョンにまたがる5GネットワークのログをGoogle Security Operations (SecOps) で監視したいと考えています。現在、ログはオンプレミスでのみ利用可能で、4つの異なるリージョンにあるスタンドアロンのネットワーク接続ストレージ (NAS) に保存されています。IPアドレスのエイリアシングを避けるために、各NASを特定のログソースとしてタグ付けして、ログをGoogle SecOpsに取り込む必要があります。どうすべきですか?

A.
フィード管理を設定して各ログの場所からデータをプルし、各ログソースに名前空間を設定する。
B.
フィード管理を設定して各ログの場所からデータをプルし、各ログソースに取り込みラベルを設定する。
C.
各ログの場所からSyslogを収集するBindplaneエージェントを設定し、各ログソースに名前空間を設定する。
D.
各ログの場所からSyslogを収集するBindplaneエージェントを設定し、各ログソースに取り込みラベルを設定する。
Question 50

あなたは、組織のインシデント対応チームのリードエンジニアです。組織のさまざまな地域の Windows デバイスを保護するために、CrowdStrike Falcon と SentinelOne を実行しています。以下のログを Google Security Operations (SecOps) に取り込んでいます: - Azure AD Directory Audit (AZURE_AD_AUDIT) - Crowdstrike Falcon (CS_EDR) - Microsoft Sysmon (WINDOWS_SYSMON) - SentinelOne (SENTINEL_EDR) - Windows Event (WINEVTLOG) 大量のランサムウェアインシデントがチームの SLA に影響を与えていることに気づきました。Windows デバイス上のランサムウェアへの対応を自動化する必要があります。ランサムウェアインシデントの検知と封じ込めを自動化するにはどうすればよいですか?(2つ選択)

A.
キュレーションされた検出で「Windows の脅威」カテゴリを有効にして、最新の Windows の脅威を検出する。
B.
キュレーションされた検出で「ユーザーとエンドポイントの行動分析(UEBA)のためのリスク分析」カテゴリを有効にして、ピアグループベースの異常な行動や不審なアクションを検出する。
C.
エンドポイントの封じ込めアクションのために SOAR EDR 統合をインストールする。キュレーションされた検出に基づいて、影響を受けた Windows デバイスを封じ込めるためのプレイブックを作成する。
D.
リモートのエンドポイント封じ込めアクションを実行するために SOAR EDR ジョブをインストールする。キュレーションされた検出に基づいて、影響を受けた Windows デバイスを封じ込めるためのプレイブックを作成する。
E.
エンドポイントの封じ込めアクションのために、各 Windows デバイスに SOAR リモートエージェントをインストールする。キュレーションされた検出に基づいて、影響を受けた Windows デバイスを封じ込めるためのプレイブックを作成する。
185問中 46-50問目
最初へ前へ89101112次へ最後へ