Professional Security Operations Engineer
Question 91
あなたの SOAR チームは Google SecOps で本番環境とステージング環境のプレイブックテストを分離する必要があります。環境(Environment)はどのように使うべきですか?
A.
Environment は SOAR レベルのアクセス制御・プレイブック範囲・統合設定の分離単位。別々の Environment を作成してユーザー/プレイブックを割り当てる。B.
Data RBAC スコープのみを利用する。SOAR には Environment の概念はない。C.
Environment ごとに別の Google Cloud プロジェクトを作成する。D.
アラートに namespace ラベルを付けて分離する。Question 92
パーサーは閲覧できるが変更は不可、ケースへのアクセスも不要なユーザー向けに、Google Cloud でカスタム IAM ロールを作成する必要があります。正しいアプローチはどれですか?
A.
roles/chronicle.viewer を直接使う。Chronicle にカスタムロールは非対応。B.
chronicle.parsers.get と chronicle.parsers.list 権限のみを含むカスタム IAM ロールを作成し、Chronicle を紐づけたプロジェクトレベルで付与する。C.
parser だけに絞った Data RBAC スコープを構成する。D.
roles/owner を付与し、parser だけに制限する条件を追加する。Question 93
あなたのセキュリティ運用チームは、Chronicle がファイアウォールログを 60 分以上取り込まない場合(サイレントソース検知)にアラートしたいと考えています。推奨構成は何ですか?
A.
match over 60m の YARA-L ルールを書き、イベントが来なかったらアラートする。B.
chronicle.googleapis.com/ingestion/log/record_count 指標に対し、log_type=FIREWALL でフィルタし metric-absence 条件の Cloud Monitoring アラートポリシーを構成する。C.
毎時間実行されるプレイブックを作成し、ケース数を確認させる。D.
ファイアウォールに対して Risk Analytics UEBA を有効化する。Question 94
Infrastructure-as-Code の一環として、Google SecOps のフィードとパーサーをプログラマブルに構成する必要があります。推奨ツールはどれですか?
A.
gcloud CLI のみB.
Google SecOps CLI(secops)。chronicle_cli の後継であり、パーサー・フィード・ルール管理をサポートするC.
Google Cloud Console UI のみD.
Chronicle バックエンド上で YAML ファイルを直接編集するQuestion 95
あなたの組織には 3 つの子会社があり、それぞれが独自の SOC チームで完全なデータ分離を必要としています。親組織の Tier 3 脅威ハンターはすべての子会社にまたがってアクセスする必要があります。どのように実装すべきですか?
A.
取り込み時に子会社ごとの namespace ラベルを付与。子会社 SOC 用に各 namespace のみを許可する 3 つのスコープを作成。親の Tier 3 ハンターはスコープなしの global ユーザーとする。B.
3 つの別々の SecOps テナントを作成し ID フェデレーションする。C.
全子会社を許可する単一スコープを使用し、MITRE ATT&CK マッピングでアクセスを制限する。D.
Tier 3 も含めて全ユーザーを 3 つの重複スコープに所属させる。