Professional Security Operations Engineer

過剰なネットワーク接続を検出する Google Security Operations (SecOps) の検出ルールが、あまりにも頻繁にトリガーされ、多くの誤検知アラートを生成していることに気づきました。このルールの有効性を損なうことなくノイズを削減するために、ルールを改善したいと考えています。検出ルールにどのような変更を実装すべきですか？

あなたは、グローバル企業のインシデント対応チームのメンバーです。Google Security Operations (SecOps) を使用して、組織のデータ内に存在する、Google Threat Intelligence が検知した潜在的なすべての IOC (侵害の痕跡) を特定する必要があります。どうすればよいですか？

あなたのGoogle Security Operations (SecOps) SOARとSecurity Command Center (SCC) の統合では、組織レベルで検出結果への読み取りアクセス権を持つサービスアカウントを使用しています。Google SecOps SOARはSCCの検出結果データを正常に読み取れますが、検出結果の状態を更新しようとすると、一貫して権限拒否エラーが発生します。最小権限の原則に従ってこのエラーを解決するには、どうすればよいですか？

あなたは、クラウドを多用するエンタープライズ環境で、Google Security Operations (SecOps) SIEM の導入に向けたログのオンボーディングを計画しています。検出エンジニアリングチームは、以下の項目に対する可視性を確保できるログソースを求めています。 - ユーザーIDの振る舞い - ラテラルムーブメント - 権限昇格の試み どのテレメトリソースを最初に取り込むべきかを判断する必要があります。どのログソースを優先すべきでしょうか？

あなたのチームは、サードパーティ製のDNSフィルタリングソリューションから新しいログソースを取り込みました。取り込み後、Google Security Operations (SecOps) でパースされたイベントにおいて、`network.dns.questions.name` や `metadata.product_event_type` といった主要なUDMフィールドが欠落していることが判明しました。デフォルトのパーサーがソースのフォーマットと完全には一致していないと推測されます。DNSクエリのテレメトリとイベントの分類に依存する後続の検出ルールでこれらのフィールドを利用できるようにする必要があります。どうすべきですか？