Professional Security Operations Engineer

Question 21

あなたは、Google Security Operations (SecOps) を使用している組織のインシデント対応エンジニアです。最近、YARA-L ルールを使用して Applied Threat Intelligence の IOC (脅威インジケーター) の監視を開始しました。しかし、想定よりも多くの誤検知アラートが発生し、SOC チームにとってノイズとなっていることが判明しました。誤検知アラートの数を減らすには、どうすればよいですか？

YARA-L ルールを変更して、60% 以上のインジケーター信頼性スコア (IC-Score) を使用するようにする。

最も繰り返し発生するアラートに対して、アラートのグループ化を設定する。

カスタムの YARA-L ルールの代わりに、キュレートされた検出を実装する。

インジケーター信頼性スコア (IC-Score) が 60% から 80% の間の場合に、IOC ソースを自動的に調整するプレイブックを作成する。

Question 22

あなたは、エンドポイントを封じ込めるための新しい対応プロセスをプレイブックで開発するよう任されました。この新しいプロセスでは、以下の要件を満たす必要があります。 - Google Security Operations (SecOps) アカウントを持たないユーザーにメールを送信し、エンドポイント封じ込めの承認をリクエストする。 - ユーザーが応答した後、ロジックの実行を自動的に継続する。あなたは、Gmail 統合を使用してこのプロセスをプレイブックに実装する予定です。SOC アナリストの作業負荷を最小限に抑えるには、どうすればよいでしょうか？

封じ込めアクションを「手動」に設定し、そのアクションをユーザーに割り当てて、封じ込めアクションを実行またはスキップさせる。

封じ込めアクションを「手動」に設定し、そのアクションを適切な階層に割り当てる。メールでユーザーに連絡して承認をリクエストする。アナリストが封じ込めアクションを実行するかスキップするかを選択する。

「メールを送信」アクションを使用してエンドポイントの封じ込め承認をリクエストするメールを送信し、「スレッドの返信を待機」アクションを使用して結果を受け取る。アナリストが手動でエンドポイントを封じ込める。

封じ込めアクションの承認リンクを生成し、そのプレースホルダーを「メールを送信」アクションの本文に含める。承認または拒否された封じ込めアクションを管理するための追加のプレイブックロジックを設定する。

Question 23

ある組織で、見慣れない国から Google Cloud IAM ユーザーへのログインが成功し、その直後、数分以内に複数の新しいサービスアカウントキーが作成されたことを検知しました。マルウェアのアラートは発生していません。この状況で、最も適切な即時の対応策は何ですか？

影響を受けたユーザーのパスワードのみを変更する

サービスアカウントを無効にして監視を継続する

アクティブな認証情報を失効させ、侵害されたIDを無効にし、インシデント対応を開始する

データアクセスの証拠を待つ

Question 24

あなたの組織では最近、Applied Threat Intelligence を有効にした Google Security Operations (SecOps) を導入しました。ネットワークチームから、過去30日間に外部ドメインへの潜在的に異常な通信があったとの通知を受けました。あなたは、外部ドメインへの通信を調査することから脅威ハンティングを開始する予定です。Google SecOps には以下のログを取り込んでいます： - ファイアウォールログ - プロキシログ - DNSログ - DHCPログ何をすべきですか？（2つ選択）

過去30日間に初めて観測された地理的位置情報を持つドメインについて、ログ全体でUDM検索を実行する。

過去30日間に初めて観測された、出現頻度の低いドメインについて、ログ全体でUDM検索を実行する。

過去30日間に初めて観測された、出現頻度の低いドメインについて、ログ全体で生ログ検索を実行する。

リスク分析で正規化されたリスクが高いドメインを特定する。それらのエンティティをドリルダウンして、出現頻度と過去30日間に初めて観測されたかどうかを判断する。

IOC一致ページに移動し、過去30日間のドメインタイプに基づいてフィルタリングする。報告されたドメインの初回観測と最終観測のタイムスタンプを探す。IOCドリルダウンリンクを使用してこれらのドメインを調査する。

Question 25

あなたは、高度で持続的な脅威（APT）アクターが組織の環境で検出されずに活動していたかどうかを調査しています。あなたは、以下の情報を含む脅威インテリジェンスを受け取りました。 - 悪意のあるDLLのSHA256ハッシュ - 既知のコマンド＆コントロール（C2）ドメイン - rundll32.exeが難読化された引数でpowershell.exeを起動する行動パターンあなたのGoogle Security Operations (SecOps) インスタンスには、EDR、DNS、およびWindows Sysmonからのログが含まれています。しかし、最近、Sysmonの構成に一貫性がないため、すべてのエンドポイントでプロセスハッシュが確実にキャプチャされていないことが判明しました。関連するアクティビティを特定する検出メカニズムを開発するために、Google SecOpsを使用する必要があります。どうすべきですか？

プロセスの関係とハッシュを関連付けるマルチイベントYARA-L検出ルールを作成し、このルールに基づいてレトロハントを実行する。

ハッシュとドメインを含む参照リストを作成し、そのリストをほぼリアルタイムのアラート用の高頻度ルールにリンクする。

ファイルハッシュに基づいてシングルイベントYARA-L検出ルールを作成し、過去および受信テレメトリに対してルールを実行してDLLの実行を検出する。

Google SecOps検索を使用してrundll32.exeの最近の使用を特定し、影響を受けるアセットにウォッチリスト用のタグを付ける。