Professional Security Operations Engineer
Question 161
IEEE が記述するインシデント対応プロセスにおいて、アラートトリアージを主に担当する SOC Tier はどれですか?
A.
Tier 1 — データ収集、アラート確認、重要度判定、エスカレーションを行うトリアージスペシャリスト。B.
Tier 2。C.
Tier 3。D.
SOC マネージャ。Question 162
認証情報窃取の可能性アラートが発生しました。完全自動化よりもアナリストレビューに適した Playbook ステップはどれですか?
A.
インシデントの深刻度判定と経営層への通知要否の判断。B.
VirusTotal レピュテーションによるエンリッチメント。C.
JIRA チケットの起票。D.
ユーザーアクティビティログの収集。Question 163
ランサムウェアインシデント対応の最初の優先事項は、フォレンジック証拠を保全しつつ封じ込めを行うことです。何をすべきですか?
A.
EDR SOAR 統合でエンドポイントを隔離する(ネットワークを遮断しつつメモリ/ディスク状態を保全)。B.
該当マシンを即時電源オフする。C.
調査前にマシンを再イメージする。D.
該当マシン関連ログを全て削除する。Question 164
ケース対応中にアナリストが実施した作業の事後詳細レビューを行いたいと考えています。SOAR のどの機能がこれを自動提供しますか?
A.
Case Wall。各ケースのアラート、アクション、コメント、プレイブック実行の時系列を自動記録する。B.
YARA-L ルールの履歴。C.
Cloud Audit Logs。D.
Risk Analytics スコアカード。Question 165
組織は地域別に 2 種類の EDR 製品(CrowdStrike と SentinelOne)を使用しています。SOAR は封じ込め Playbook をどのように扱うべきですか?
A.
両方の EDR SOAR Integration をインストールし、アセットメタデータ(リージョンや導入 EDR エージェント)に基づいて正しい EDR を選択する条件付き Flow を持つ Playbook を構築する。B.
グローバルに 1 つの EDR だけ使う。C.
地域ごとに異なるスクリプトを手動で実行する。D.
SOAR 封じ込めを無効化する。