Professional Security Operations Engineer
Question 116
脅威ハンティングを実施しており、自環境から接触されたアウトバウンド先の珍しい外部ドメインを見つけたいと考えています。最も効果的なアプローチは何ですか?
A.
過去 N 日間に初めて観測された、出現頻度の低い(low prevalence)ドメインに対して UDM 検索を実行し、WHOIS と脅威インテリジェンスでエンリッチする。B.
全アウトバウンドトラフィックをブロックしてユーザーから苦情が来るか確認する。C.
全プロキシログをエクスポートし Excel で分析する。D.
公開されている Alexa Top 1000 リストのドメインだけを監視する。Question 117
あなたの CISO は異常行動の強化監視を必要とする役員 50 人のアカウントを特定しました。Google SecOps でどのように構成すべきですか?
A.
Google SecOps の Watchlist に 50 人の役員を追加し、リスクスコアをブーストして調査を優先化する。B.
役員 1 人に 1 つずつ、計 50 個の YARA-L ルールを作成する。C.
データアクセススコープから役員を除外する。D.
役員を UDM イベントとして手動で登録する。Question 118
Risk Analytics ダッシュボードを確認中、2 つのセクションが表示されています。Behavioral Analytics セクションと Watchlist セクションの主な違いは何ですか?
A.
Behavioral Analytics は SecOps が算出するリスクスコアで、Watchlist は内部企業のリスク計算(手動キュレーション)で順位付けされる。B.
Behavioral Analytics はネットワークイベント専用、Watchlist はユーザーイベント専用。C.
両者は同一で、表示が違うだけ。D.
Behavioral Analytics は履歴、Watchlist はリアルタイム。Question 119
脅威ハンティングチームは実証済みの攻撃者技術に基づいてハントしたいと考えています。仮説生成の基盤として使うべきフレームワークはどれですか?
A.
MITRE ATT&CK。攻撃者の戦術・技術・手順(TTPs)をカタログ化したフレームワーク。B.
NIST SP800-207 Zero Trust Architecture。C.
CIS Benchmarks。D.
ISO 27001。Question 120
IOC Matches ページを確認中、Mandiant Threat Intelligence からの悪性 IP のマッチを確認しました。次の調査ステップは何ですか?
A.
エンティティグラフで IP から関連エンティティ(ホスト、ユーザー、セッション)にピボットし、過去 N 日の関連イベントを確認する。B.
全社端末を直ちに再イメージする。C.
アラート疲労を避けるため IOC マッチを削除する。D.
追加調査せずにファイアウォールポリシーを変更する。