← 試験一覧に戻る

Professional Cloud Security Engineer

Question 111

あなたの組織のゼロトラスト戦略の一環として、Identity-Aware Proxy (IAP) を使用して複数のアプリケーションを保護しています。侵入の可能性についてアラートを受け取るために、ログをセキュリティ情報イベント管理 (SIEM) システムに取り込む必要があります。 どのログを分析すべきですか?

A.
データアクセス監査ログ
B.
ポリシー拒否監査ログ
C.
Cloud Identity ユーザーログイベント
D.
管理者アクティビティ監査ログ
Question 112

VPCネットワークで定義されている暗黙のファイアウォールルールはどれですか?2つ選択してください。

A.
すべてのアウトバウンド接続を許可するルール
B.
すべてのインバウンド接続を拒否するルール
C.
すべてのインバウンドポート25接続をブロックするルール
D.
すべてのアウトバウンド接続をブロックするルール
E.
すべてのインバウンドポート80接続を許可するルール
Question 113

顧客がGCPからオンプレミスのSIEMシステムにStackdriverログを確実に配信するには、どうすればよいですか?

A.
syslogなどの既存のプロトコル経由で、すべてのログをSIEMシステムに送信する。
B.
すべてのプロジェクトで、共通のBigQueryデータセットにすべてのログをエクスポートするように設定し、SIEMシステムがそのデータセットをクエリする。
C.
組織のログシンクを設定してCloud Pub/Subトピックにログをエクスポートし、Dataflow経由でSIEMに送信する。
D.
GCPのRESTful JSON APIからリアルタイムですべてのログをクエリするために、SIEM用のコネクタを構築する。
Question 114

あなたの会社は業界固有の規制に従う必要があります。そのため、org1という組織内のすべての新しいCloud Storageリソースに対して、顧客管理の暗号鍵(CMEK)の使用を強制する必要があります。 どのコマンドを実行すべきですか?

A.
• 組織のポリシー: constraints/gcp.restrictStorageNonCmekServices • バインディング先: org1 • ポリシータイプ: allow • ポリシー値: サポートされているすべてのサービス
B.
• 組織のポリシー: constraints/gcp.restrictNonCmekServices • バインディング先: org1 • ポリシータイプ: deny • ポリシー値: storage.googleapis.com
C.
• 組織のポリシー: constraints/gcp.restrictStorageNonCmekServices • バインディング先: org1 • ポリシータイプ: deny • ポリシー値: storage.googleapis.com
D.
• 組織のポリシー: constraints/gcp.restrictNonCmekServices • バインディング先: org1 • ポリシータイプ: allow • ポリシー値: storage.googleapis.com
Question 115

あなたの会社のGoogle Cloud組織には、約200のプロジェクトと1,500台の仮想マシンがあります。ログとイベント管理に関する統一された戦略がなく、セキュリティ運用チームの可視性が低下しています。可視性を提供し、セキュリティチームが環境の構成を表示できるようにするログ管理ソリューションを設計する必要があります。 どうすればよいですか?

A.
1. 対象となる各プロジェクトに専用のログシンクを作成します。 2. 時間パーティション分割が有効なBigQueryデータセットをログシンクの宛先として使用します。 3. すべてのプロジェクトでログメトリクスに基づいてアラートを展開します。 4. 各プロジェクトでセキュリティ運用チームに「モニタリング閲覧者」ロールを付与します。
B.
1. すべての子リソースを含む組織レベルで1つのログシンクを作成します。 2. 宛先としてPub/Subトピックを使用し、オンプレミスのセキュリティ情報イベント管理(SIEM)にログを取り込み、適切なチームがSIEMにアクセスできるようにします。 3. 組織レベルでセキュリティ運用チームに閲覧者ロールを付与します。
C.
1. 「本番」フォルダ内のすべてのリソースに対してネットワークログとデータアクセスログを有効にします。 2. 不要なコストとレイテンシを避けるためにログシンクを作成しません。 3. プロジェクトレベルでセキュリティ運用チームに「ログ閲覧者」と「参照者」ロールを付与します。
D.
1. 子リソースを含む「本番」フォルダ用のシンク1つと、子リソースを除外する組織レベルで取り込まれるログ用のシンク1つを作成します。 2. 宛先として、セキュリティチームがアクセスできるプロジェクトに、最低90日の保持期間を持つログバケットを使用します。 3. 組織レベルでセキュリティ運用チームにセキュリティレビュー担当者ロールを付与します。
321問中 111-115問目
最初へ前へ2122232425次へ最後へ