Professional Security Operations Engineer

あなたの組織では、ミッションクリティカルな本番環境のCompute Engine VMを毎日監視しています。Google Security Operations (SecOps) でUDM検索を実行したところ、本番環境VMの1つから、見慣れない外部IPアドレスへのアウトバウンドネットワーク接続が過去48時間にわたって複数回発生していることを発見しました。Google SecOpsを使用して、この外部IPアドレスに関するコンテキストを迅速に収集し、その評判を評価する必要があります。どうすべきですか？

プロアクティブな脅威ハンティングの演習中に、重要な本番環境プロジェクトに、高度に特権的なIAMロールを持つ外部IDが存在することを発見しました。あなたはこれがより大規模な侵入の一部であると疑っており、このIDがどのくらいの期間アクセス権を持っていたかは不明です。すべてのログは有効化され、組織レベルで一元化されたCloud Loggingバケットにルーティングされており、履歴ログはBigQueryデータセットにエクスポートされています。あなたはこの外部IDによって環境内で何らかのアクションが実行されたかどうかを判断する必要があります。どうすべきですか？

あなたは Google Security Operations (SecOps) でプロアクティブな脅威ハンティングを実施しています。短い時間内に、同じ `principal.user.userid` フィールドを持つ複数のログインイベントが、異なる国から発生していることを観測しました。このアカウントが侵害されているかどうかを検証する必要があります。どうすべきですか？

あなたは、Google Security Operations (SecOps) を利用している組織のセキュリティアナリストです。複数のユーザーアカウントで不審なログイン試行に気づきました。これらの試行が協調攻撃の一環であるかどうかを、できるだけ迅速に判断する必要があります。最初に取るべきアクションは何ですか？

あなたは、所属する組織のために Google Security Operations (SecOps) でのデータ取り込みの開発と設定を担当しています。組織では、複雑ですが安定しており一般的なログソースをパースするために、事前ビルド済みのパーサーを使用しています。このパーサーは正しく動作しています。しかし、組織は生ログから追加のフィールドをパースし、それらを UDM フィールドにマッピングするように設定を変更することを求めています。あなたはどうすべきですか？