Professional Security Operations Engineer
Question 131
ハントチームは複合的なリスク要因に基づいてエンティティの優先度を付けたいと考えています。SecOps のどの機能がこれを自動化しますか?
A.
Risk Analytics。行動異常・アラート・Watchlist ブーストにまたがるエンティティレベルのリスクスコアを集約する。B.
Cloud Monitoring。C.
BigQuery UDM ストレージ。D.
Cloud Audit Logs。Question 132
異常な親子プロセス関係(例: winword.exe が powershell.exe を起動)をハントしたいと考えています。有効なアプローチはどれですか?
A.
principal.process.file.names = winword.exe かつ target.process.file.names = powershell.exe の PROCESS_LAUNCH イベントにマッチする YARA-L ルールを書き、Precise モードで有効化する。B.
winword.exe を全社でブロックする。C.
パーサー拡張を書く。D.
PowerShell を無効化する。Question 133
YARA-L ルールで必須のセクションはどれですか?
A.
matchB.
outcomeC.
meta、events、conditionD.
optionsQuestion 134
YARA-L ルールにおいて、`match: $user over 1h` の式は何を行いますか?
A.
1 時間のスライディングウィンドウ内でマッチイベントを $user プレースホルダでグループ化する(SQL の GROUP BY with time bucketing に相当)。B.
ルールを 1 時間ごとに実行することを要求する。C.
ルール実行を最大 1 時間に制限する。D.
検知の 1 時間後にアラートを送信する。Question 135
YARA-L ルールの condition における `#fail > 10` は何をチェックしますか?
A.
$fail イベント変数にマッチしたイベント数が 10 を超えていること。B.
fail の重大度が 10 以上であること。C.
ルールが 10 回以上失敗していること。D.
fail という名前のファイルが 10 バイトより大きいこと。