Professional Security Operations Engineer
Question 151
ある検知ルールが 14 日間ゼロマッチです。考えられる診断ステップを 2 つ選択してください。
A.
想定イベントが到達し想定通りの形で存在しているか、Raw Log Search で確認する。B.
過去 14 日間に対して retrohunt を実行し、過去データに対するルールロジックを検証する。C.
ルールを削除して作り直す。D.
全パーサーを無効化する。Question 152
YARA-L ルールが `$fail.target.user.userid = $user` と `$success.target.user.userid = $user` を使用しています。プレースホルダー $user は何を実現しますか?
A.
$fail と $success のイベント間で userid 値を束縛し、同一ユーザーを共有することを相関条件として強制する。B.
新しい SOAR ケースを宣言する。C.
パーサー拡張を呼び出す。D.
特に何も行わない。Question 153
`$e` イベント変数の宣言(例: `$e.metadata.event_type = USER_LOGIN`)について正しい記述はどれですか?
A.
$e は UDM イベント全体を指し、events、outcome、condition の各セクションでドット記法により複数のネストフィールドを参照できる。B.
$e は outcome セクション内でのみ使える。C.
$e はエラー用の予約変数。D.
$e は meta セクションで宣言する必要がある。Question 154
Google Cloud における不正な API 有効化を検知する必要があります。これを最もよくカバーするキュレーションカテゴリはどれですか?
A.
Curated Detections の Cloud Threats カテゴリ(Google Cloud、AWS、Azure、Office 365、Okta をカバー)。B.
Windows Threats カテゴリ。C.
macOS Threats カテゴリ。D.
Chrome Enterprise Threats カテゴリ。Question 155
同一の侵害されたユーザーアカウントに関わる複数のアラートが 5 分以内に発生しました。Google SecOps SOAR はこれらをどのようにグループ化しますか?
A.
共通エンティティ(ユーザー)、時間近接性、ルール類似性に基づく自動グルーピングが行われ、関連アラートをまとめた単一のケースが生成される。B.
各アラートが別々のケースを生成する。C.
アラートはメール送信のみでケースは作成されない。D.
SOAR は重複アラートを無視する。