Professional Security Operations Engineer
Question 101
既存の Forwarder デプロイメントがあり、移行が必要です。推奨される移行パスは何ですか?
A.
Bindplane のフィルタリング・正規化・集中管理の優位性を活かし、2027 年 1 月より前に Bindplane Collector へ移行する。B.
既存 Forwarders を最新版に無期限にアップグレードする。C.
Forwarders を Ingestion API 呼び出しのみに置き換える。D.
Splunk Universal Forwarder に移行する。Question 102
あなたのカスタムアプリケーションは既に UDM フォーマットでログを生成しており、それを Google SecOps に送信したいと考えています。最適なパフォーマンスのために使用すべき Ingestion API メソッドはどれですか?
A.
unstructuredlogentriesB.
udmeventsC.
entitiesD.
logtypesQuestion 103
AWS アカウントから CloudTrail ログを、ほぼリアルタイムかつ安定的な配信で Google SecOps に取り込む必要があります。最適なフィードタイプは何ですか?
A.
S3 バケットを定期ポーリングするストレージフィード。B.
S3 バケット通知をキュー経由で消費する Amazon SQS フィード。C.
各 AWS リージョンにインストールした Bindplane エージェント。D.
Cloud Logging エクスポート。Question 104
Google SecOps に Box 監査ログを取り込みたいのですが、Box 向けネイティブフィードが存在しません。推奨アプローチは何ですか?
A.
Box 用に Google が提供する Python 取り込みスクリプトを Cloud Run function にデプロイし、Box API からログを取得して SecOps に送信する。B.
Box サーバーに Bindplane をインストールする。C.
Google がネイティブ Box フィードを追加するまで待ち、追加されるまで取り込まない。D.
SCC に Box ログをプルさせるよう構成する。Question 105
人気の EDR 製品からログを取り込んだ後、デフォルトパーサーが自動適用されていることに気付きました。あなたのチームは、自社デプロイメント固有の 3 つのカスタムフィールドを追加したいと考えています。何をすべきですか?
A.
デフォルトパーサーを、ゼロから書いた完全カスタムパーサーに置き換える。B.
パーサー拡張機能(Parser Extension)を使い、既存のデフォルトパーサーに 3 つのカスタムフィールドを追加する。C.
ソース側で生ログを修正し、既存の UDM 形状にフィールドを入れ込む。D.
カスタムフィールドを発行する YARA-L ルールを作成する。