Professional Security Operations Engineer
Question 86
あなたの組織は子会社(Company A)を買収しました。子会社の SOC アナリストは Google SecOps 内で子会社のログのみにアクセスする必要があります。親組織のアナリストはすべてのデータにアクセスする必要があります。データアクセスをどのように構成すべきですか?
A.
Company A 用に別の SecOps テナントを作成してログを複製する。B.
取り込み時に Company A のログに namespace ラベルを付与し、その namespace を許可するデータアクセススコープを作成して Company A のアナリストにアサインする。親組織のアナリストは global ユーザーのまま残す。C.
chronicle.viewer ロールに request.time の IAM 条件を付与する。D.
Company A のネットワークに Forwarders を配置し、別の Chronicle インスタンスにのみ送信する。Question 87
Google SecOps で Data RBAC スコープを設定しています。あるユーザーは log_type=FIREWALL の allow ラベルと namespace=PROD の deny ラベルの両方を持つスコープに属しています。このユーザーはどのログを閲覧できますか?
A.
PROD namespace のものも含め、すべての FIREWALL ログ。B.
PROD namespace にない FIREWALL ログのみ。C.
log_type に関わらず、PROD namespace のすべてのログ。D.
deny がすべてを上書きするため、ログは閲覧できない。Question 88
新人 SOC アナリストが Google SecOps でアラート調査のために読み取り専用アクセスを必要としていますが、生ログは閲覧できないようにする必要があります。最も適切な IAM ロールはどれですか?
A.
roles/chronicle.adminB.
roles/chronicle.editorC.
roles/chronicle.limitedViewerD.
roles/viewer(プロジェクトレベル基本ロール)Question 89
あなたの組織は MSSP を利用しており、Google SecOps インスタンスへの限定アクセスを与えて特定の顧客ログタイプだけを監視させる必要があります。推奨されるアプローチは何ですか?
A.
admin アカウントの認証情報を MSSP と共有する。B.
MSSP の Google グループに、該当 log_type ラベルに限定したデータアクセススコープと読み取り専用の Chronicle IAM ロールを付与する。C.
ログを別の GCS バケットに継続エクスポートし、MSSP にバケットアクセスを付与する。D.
組織が発行したサービスアカウントキーを MSSP に使わせる。Question 90
Google SecOps で YARA-L 検知ルールの構成変更を誰が行っているかを追跡したいと考えています。何をすべきですか?
A.
組織レベルでデータアクセス監査ログを有効化し、Cloud Logging でクエリする。B.
Cloud Logging で管理アクティビティ監査ログを確認する。Chronicle API に対してデフォルトで有効化されている。C.
ルール変更を検知するカスタム YARA-L ルールを作成する。D.
関連するケースごとに Case Wall を確認する。