Professional Security Operations Engineer
Question 136
悪性 IP 参照リストの IP からユーザーがログインする単一イベントを検知したいと考えています。最も適切なルールタイプはどれですか?
A.
match セクションなしの単一イベントルールで、principal.ip を参照リストに突合する。B.
スライディングウィンドウ付きのマルチイベントルール。C.
Composite ルール。D.
パーサー拡張。Question 137
特定のシーケンス(同一ソースからのブルートフォース試行の後に成功ログイン)を検知したいと考えています。適合するルールパターンはどれですか?
A.
2 つのイベント変数 $fail と $success を持つマルチイベントルール(または Sequential Composite Rule)。共通ユーザー/ソースで時間窓内にマッチし、condition で $fail.timestamp < $success.timestamp を確認する。B.
成功のみを探す単一イベントルール。C.
events セクションのない YARA-L ルール。D.
認証ログ上のパーサー拡張。Question 138
同一エンティティに対して複数の下位検知が発生したときにトリガーされる上位ルールを構築したいと考えています。どの構造を使うべきですか?
A.
Composite Detection Rule。入力ルールから生成された検知を入力として取り、新たな検知またはアラートを生成する。B.
パーサー拡張。C.
IoC Match のみ。D.
options セクションのみの YARA-L ルール。Question 139
Windows 上のランサムウェアをカバーする Google がメンテナンスするマネージドルールを使いたいと考えています。どの機能を有効化すべきですか?
A.
Curated Detections の Windows Threats カテゴリを有効化する。B.
ゼロからカスタム YARA-L ルールを書く。C.
パーサー拡張を有効化する。D.
SOAR Playbook トリガーを構成する。Question 140
Curated Detection のルールセットを有効化する際、Precise と Broad モードのオプションが表示されます。正しい記述はどれですか?
A.
Precise モードは誤検知を減らし高信頼度のアラートを生成し、Broad モードはヒューリスティックでより多くの異常を検知するが誤検知も増える。B.
Precise は有料、Broad は無料。C.
Precise は Enterprise Plus 必須、Broad は Standard。D.
両モードは非推奨。