Professional Security Operations Engineer
Question 96
あるユーザーが Google SecOps でアラートは見えるが関連する生ログを閲覧できないと訴えています。スコープは log_type=AUDIT のみを許可しています。アラートには log_type=EDR のイベントが含まれています。原因は何ですか?
A.
アラートのメタデータは global に可視化されるが、生の EDR イベントはユーザーのスコープで除外される(EDR は allow に含まれないため)。B.
ユーザーに chronicle.alerts.view 権限がない。C.
EDR ログには別のフィード構成が必要。D.
Risk Analytics が無効化されている。Question 97
Google SecOps で新しい YARA-L 検知ルールをデプロイしようとしていますが、実際のアラートを発生させずに挙動を検証したいと考えています。最適なアプローチは何ですか?
A.
ルールを本番に直接デプロイし、誤検知を監視する。B.
ルールをアラート発生なしモードで有効化し、過去データに対して retrohunt を実行してマッチイベントを確認する(ライブアラートは発生しない)。C.
ルールを Playbook にコピーしてそちらでテストする。D.
Raw Log Search で手動でログがマッチするか確認する。Question 98
あなたの SOC マネージャは Google SecOps のパースエラー件数を日次で把握し、データ品質を評価したいと考えています。どうすればこの情報を取得できますか?
A.
取り込みヘルス用の Curated Dashboard を利用し、パースエラーと取り込み指標を表示する。B.
パースエラーを検出する YARA-L ルールを書く。C.
Mandiant がパースエラーレポートをオンデマンド提供する。D.
SecOps ではパースエラーを監視できない。Question 99
Google SecOps で 3 ヶ月間作業するサードパーティ SOC アナリストをオンボーディングしています。セキュリティと運用の簡素さのバランスが取れたアプローチはどれですか?
A.
Google Workspace/Cloud Identity ドメインに有効期限付きユーザーを作成し、専用 Google グループに所属させて、Chronicle ロールとデータアクセススコープをグループに付与する。B.
既存アナリストの認証情報を期間中共有する。C.
サービスアカウントを作成してアナリストに渡す。D.
roles/owner を一時的に付与する。Question 100
500 台のオンプレミス Windows サーバーから Google SecOps に Windows イベントログを取り込む必要があります。セキュリティチームはコレクタの集中管理を望んでいます。2026 年における推奨ソリューションは何ですか?
A.
各サーバーに Forwarders をインストールし、config ファイルで管理する。B.
各 Windows サーバーに Bindplane Collector をデプロイし、Bindplane Server から集中管理する。C.
各サーバーから直接 Cloud Pub/Sub に書き込む。D.
Windows 上で Cloud Logging エージェントを利用する。