Q1. あなたの会社はマルチクラウド環境を採用しようとしています。
Google Security Operations(SecOps)を使用して、脅威の包括的な監視を構成する必要があります。
できるだけ早く脅威の特定を開始したいと考えています。
どうすればよいですか?
A. Gemini を使用して、マルチクラウドのユースケース向けの YARA-L ルールを生成する。
B. Cloud Threats カテゴリのキュレーション検出(curated detections)を使用して、クラウド環境を監視する。
C. Applied Threat Intelligence 向けのキュレーション検出を使用して、会社のクラウド環境を監視する。
D. Cloud Customer Care に依頼し、会社のクラウド環境を監視するために Google が推奨するルールセットを提供してもらう。
回答
- B. Cloud Threats カテゴリのキュレーション検出(curated detections)を使用して、クラウド環境を監視する。
-
マルチクラウド環境で脅威監視を最短で開始する方法は、Cloud Threats カテゴリのキュレーション検出を有効化することです。
これらは Google が事前構築した検出ルールで、一般的なクラウドセキュリティ脅威を即座にカバーできるため、カスタムルールの開発を待たずにインシデントを検知・対応できます。
選択肢 C の Applied Threat Intelligence は IOC ベースの照合が中心であり、マルチクラウド脅威を包括的にすぐ監視する目的には Cloud Threats カテゴリが適切です。
A の Gemini 生成や D の問い合わせは即時性に欠けます。
Google Cloud 公式ドキュメント:Curated detections overview
Q2. あなたは、新しい Google Security Operations(SecOps)の顧客が SOC チームのアクセスを構成するのを支援しています。
Google SecOps の管理者は現在インスタンスにアクセスできています。
この顧客は、新しい Google SecOps ユーザーがインスタンスへのアクセスを承認されないものの、サードパーティの ID プロバイダ(IdP)には認証できていると報告しています。
この問題をどのように修正すればよいですか?(2つ選択してください)
A. Chronicle API を使用して、Google SecOps を Google Cloud プロジェクトにリンクする。
B. Workforce Identity Federation を使用して、Google SecOps をサードパーティ IdP と統合する。
C. IAM で SOC チームの IdP グループに適切なデータアクセススコープを付与する。
D. IAM で SOC チームの IdP グループに roles/chronicle.viewer ロールを付与する。
E. Google SecOps SOAR の詳細設定(Advanced Settings)で、適切な IdP グループに Basic 権限を付与する。
回答
- D. IAM で SOC チームの IdP グループに roles/chronicle.viewer ロールを付与する。
E. Google SecOps SOAR の詳細設定(Advanced Settings)で、適切な IdP グループに Basic 権限を付与する。 -
認証は成功しているのに認可されない場合は、SIEM 側と SOAR 側の両方で権限付与が必要です。
IAM で IdP グループに roles/chronicle.viewer ロールを付与すると、Google SecOps インスタンスへアクセスするための権限が与えられます。
さらに SOAR の詳細設定で該当 IdP グループに Basic 権限を付与すると、アプリケーションレベルの正しいアクセスが確保されます。
SIEM 側は IAM ロール、SOAR 側は詳細設定での権限付与が両方必要である点が要点です。
B の Workforce Identity Federation は認証(すでに成功済み)に関する設定であり、認可の問題は解決しません。
Google Cloud 公式ドキュメント:Configure feature access(IAM ロール)
Q3. あなたの組織は Google Security Operations(SecOps)の顧客です。
Google Threat Intelligence を使用して、組織の脅威プロファイルに含まれるサイバー脅威を特定しています。
組織がサイバー犯罪グループに標的にされた可能性があると考えています。
組織が攻撃の被害を受けたかどうかを特定する必要があります。
どうすればよいですか?
A. Digital Threat Monitoring 機能でモニターを実装し、新たに漏えいした認証情報、ダークウェブでの言及、データ漏えいを特定する。
B. Reports & Analysis 機能で最近のレポートから IOC を抽出し、Google SecOps で検出ルールとリストを実装して、それらが組織の環境内に存在するかどうかを特定する。
C. Threat Landscape 機能を確認して業界で活動している脅威グループを特定し、既知の MITRE ATT&CK の戦術・技術・手順(TTP)を調査して、Google SecOps で検出ルールを実装する。
D. Vulnerability Intelligence 機能で、組織が使用する製品や技術の新たな高・重大脆弱性を特定し、パッチを適用できるようにする。
回答
- B. Reports & Analysis 機能で最近のレポートから IOC を抽出し、Google SecOps で検出ルールとリストを実装して、それらが組織の環境内に存在するかどうかを特定する。
-
すでに攻撃を受けたかどうかを判断するには、実際に活用可能なインテリジェンス(IOC)を取得し、自組織の環境に活動痕跡がないかを照合する必要があります。
Google Threat Intelligence の Reports & Analysis 機能は、IOC を含む脅威レポートを提供します。
これらの IOC を抽出して Google SecOps で検出ルールやリストを実装すれば、過去および現在のテレメトリを検索し、攻撃グループが自組織のシステムで活動したかどうかを特定できます。
C の TTP 調査は将来の検出設計向けであり、A や D は被害有無の直接的な判定ではありません。
Google Cloud 公式ドキュメント:Google Threat Intelligence
Q4. Google Threat Intelligence に複数の IOC を持つ新しい脅威アクターグループを特定しました。
これらの IOC の一部を Google Security Operations(SecOps)の複数の検出ルールで使用し、疑わしいアクティビティの特定に役立てたいと考えています。
最も効果的なアプローチを使用したいと考えています。
どうすればよいですか?
A. 新しい IOC に該当する検出ルールを特定し、脅威アクターグループを参照するように YARA-L のロジックを更新する。
B. IOC を含む新しいデータフィードを Google SecOps に構成する。
該当する UDM フィールドに対して新しい IOC を参照するように YARA-L のロジックを更新する。
C. IOC を新規または既存の参照リスト(reference list)に追加し、その参照リストを含めるように検出ルールの YARA-L ロジックを更新する。
D. IOC を Google Threat Intelligence の新しいコレクションに保存する。
このリストをセキュリティチームの他のメンバーと共有し、検索やルール作成を容易にする。
回答
- C. IOC を新規または既存の参照リスト(reference list)に追加し、その参照リストを含めるように検出ルールの YARA-L ロジックを更新する。
-
最も効果的な方法は、IOC を Google SecOps の参照リストに追加し、その参照リストを参照するように検出ルールの YARA-L ロジックを更新することです。
参照リストに集約して YARA-L から参照することで、複数のルールで IOC を再利用でき、メンテナンスが簡素化され、検出ロジックの一貫性が保たれます。
これにより IOC を複数箇所に重複させることを防げます。
A の脅威グループ参照や D のコレクション共有は、検出ルールへの直接的な IOC 活用には不向きです。
Google Cloud 公式ドキュメント:Use reference lists
Q5. SOC 向けにプレイブックを作成しています。
この SOC では、プレイブックが実行されるアラートについて、各 Google Security Operations(SecOps)ロールが異なる情報を参照できることが求められています。
各 Google SecOps ロールに対して関連情報を提示するようにプレイブックを構成する必要があります。
どうすればよいですか?
A. 各 Google SecOps ロール向けに、プレイブックにビュー(view)を追加する。
B. 各 Google SecOps ロール向けに、Case Comment アクションをプレイブックに追加する。
C. 各 Google SecOps ロールにタスクを割り当てるため、Create Siemplify Task アクション(現 Google SecOps SOAR のタスク作成)をプレイブックに追加する。
D. 各 Google SecOps ロール向けに、Add General insight アクションをプレイブックに追加する。
回答
- A. 各 Google SecOps ロール向けに、プレイブックにビュー(view)を追加する。
-
正しいアプローチは、各 Google SecOps ロール向けにプレイブックへビューを追加することです。
ビューを使うと、ロールに応じて表示される情報を制御でき、各 SOC ロールが自分の責務に関連する情報のみを参照できます。
B の Case Comment や D の General insight は情報の追加であってロール別の表示制御ではなく、C のタスク作成はタスク割り当て用です。
Google Cloud 公式ドキュメント:SOAR ケースとプレイブックビュー
Q6. Container Threat Detection から、ビジネス上重要なワークロードで追加されたバイナリが実行されたというアラートを受け取りました。
このインシデントを調査し対応する必要があります。
どうすればよいですか?(2つ選択してください)
A. ワークロードの所有者に通知する。
対応プレイブックに従い、脅威ハンティングチームにインシデントの根本原因の特定を依頼する。
B. 検出内容を確認し、Pod と関連リソースを調査して、関連する攻撃手法と対応方法を調べる。
C. 検出内容を確認し、実行中の Pod を含むクラスタを隔離し、さらなる侵害を防ぐために実行中の Pod を削除する。
D. このアラートは低重大度の検出であるため、Security Command Center(SCC)コンソールでアラートを抑制(silence)する。
E. クラスタと Pod を稼働させたまま、その挙動を調査してアクティビティが悪意あるものかどうかを判断する。
回答
- A. ワークロードの所有者に通知する。対応プレイブックに従い、脅威ハンティングチームに根本原因の特定を依頼する。
B. 検出内容を確認し、Pod と関連リソースを調査して、関連する攻撃手法と対応方法を調べる。 -
適切な対応は、ワークロード所有者への通知と対応プレイブックの遂行によって連携の取れたインシデント処理を確保することと、検出内容を確認しながら Pod と関連リソースを調査して攻撃を理解し適切な修復を判断することの両方です。
重要な証拠を早まって削除・抑制せず、通知とプレイブック遂行、そして技術的調査を並行することが要点です。
C は証拠となる Pod を削除してしまい、D はアラートを抑制してしまうため、フォレンジック上不適切です。
Google Cloud 公式ドキュメント:Container Threat Detection の概要
Q7. あなたのチームは大規模な多国籍企業のサイバーセキュリティを担当しています。
組織の環境内で稼働している可能性のある未知のコマンド&コントロールノード(C2)を特定する任務を負っています。
今後 24 時間以内に潜在的な一致のリストを生成する必要があります。
どうすればよいですか?
A. Google Security Operations(SecOps)でルールを作成し、取り込んだ脅威インテリジェンスに対して過去のネットワーク送信接続をスキャンする。
テナント全体に対してリトロハント(retrohunt)でそのルールを実行する。
B. ネットワーク記録を BigQuery に読み込み、通常の 3 標準偏差を超える範囲のドメインと通信しているエンドポイントを特定する。
C. Security Command Center(SCC)で Security Health Analytics(SHA)の検出結果を確認する。
D. Google Security Operations(SecOps)で YARA-L ルールを作成し、エンドポイントのネットワークトラフィックを、最近の WHOIS 登録と照らし合わせた低頻度ドメインと比較する。
回答
- A. Google SecOps でルールを作成し、取り込んだ脅威インテリジェンスに対して過去の送信接続をスキャンする。テナント全体に対してリトロハント(retrohunt)で実行する。
-
24 時間以内に未知の C2 ノードを特定する最速かつ最も効果的な方法は、Google SecOps で過去の送信接続を取り込み済みの脅威インテリジェンスと比較する検出ルールを作成し、テナント全体でリトロハントとして実行することです。
リトロハントは過去のテレメトリを大規模かつ高速にスキャンし、新規イベントの発生を待たずに一致を洗い出せます。
B の統計的手法や D の WHOIS 照合は、指定時間内の網羅的な洗い出しには時間や精度の面で劣ります。
Google Cloud 公式ドキュメント:ルールとリトロハントの管理
Q8. あなたは組織の Google Security Operations(SecOps)におけるデータ取り込みの開発と構成を担当しています。
組織は、複雑ですが安定して一般的なログソースを解析するために、事前構築済みパーサー(prebuilt parser)を使用しています。
このパーサーは正しく動作しています。
しかし組織は、生ログから追加のフィールドを解析して UDM フィールドにマッピングするよう構成を変更したいと考えています。
どうすればよいですか?
A. カスタムパーサーを設計・開発する。
B. 事前構築済みパーサーに保留中の更新を適用する。
C. 事前構築済みパーサーの上にパーサー拡張(parser extension)を実装する。
D. 基盤となるデータ構造を変更するためにミドルウェアを実装する。
回答
- C. 事前構築済みパーサーの上にパーサー拡張(parser extension)を実装する。
-
推奨されるアプローチは、事前構築済みパーサーの上にパーサー拡張を実装することです。
パーサー拡張を使うと、既存の安定したパーサーを変更することなく、生ログの追加フィールドを UDM フィールドにマッピングできます。
これにより元の解析ロジックを保持しつつ、新しいフィールドのカスタマイズが可能になります。
A のカスタムパーサー新規開発は労力が大きく、安定稼働中のパーサーを置き換えるリスクがあります。
Google Cloud 公式ドキュメント:パーサー拡張の管理
Q9. あなたは組織のインシデントレスポンダーで、監視と調査に Google Security Operations(SecOps)を使用しています。
金融取引を処理する重要な本番サーバーに、不正なファイル変更と、疑わしい IP アドレスからのネットワークスキャンの兆候が見られることを発見しました。
永続化メカニズムがインストールされた可能性があると疑っています。
フォレンジックデータを調査用に利用可能な状態に保ちつつ、Google SecOps を使って脅威を直ちに封じ込める必要があります。
まず何をすべきですか?
A. ファイアウォール統合を使用して、その IP アドレスをネットワークブロックリストに登録し、そのマシンからのインターネットアクセスを遮断する。
B. 緊急パッチを適用し、悪意ある永続化を除去するためにサーバーを再起動する。
C. EDR 統合を使用して、侵害された資産を隔離(quarantine)する。
D. VirusTotal を使用して IP アドレスをエンリッチしドメインを取得する。
そのドメインをプロキシのブロックリストに追加する。
回答
- C. EDR 統合を使用して、侵害された資産を隔離(quarantine)する。
-
フォレンジックデータを保全しながら封じ込める最も効果的な最初のステップは、EDR 統合を使って侵害された資産を隔離することです。
隔離はサーバーをネットワークから切り離してさらなる悪意ある活動を防ぎつつ、消去や再起動を行わないため、永続化メカニズムや不正なファイル変更などの証拠が保持されます。
B の再起動は揮発性の証拠を失う恐れがあります。
A や D の遮断はネットワークレベルの対処に留まり、資産そのものの封じ込めには EDR による隔離が適します。
Google Cloud 公式ドキュメント:SOAR マーケットプレイス統合(EDR)
Q10. あなたの組織は Google Security Operations(SecOps)の顧客です。
コンプライアンスチームは、過去 1 週間の高および重大の重大度のケースについて、ケースの解決状況と SLA メトリクスの週次エクスポートを求めています。
このコンプライアンスチームの後処理スクリプトでは、このデータを CSV ファイルの表形式データとしてフォーマットし、ZIP 圧縮して、毎週月曜の朝にメールで配信する必要があります。
どうすればよいですか?
A. SOAR Reports でレポートを生成し、レポートの配信をスケジュールする。
B. 検索(search)で統計(statistics)を使用し、Google SecOps SOAR ジョブを構成してレポートをフォーマットし送信する。
C. SOAR Reports で Advanced Report を作成し、レポートの配信をスケジュールする。
D. アウトカム付きの検出ルールを作成し、Google SecOps SOAR ジョブを構成してレポートをフォーマットし送信する。
回答
- B. 検索(search)で統計(statistics)を使用し、Google SecOps SOAR ジョブを構成してレポートをフォーマットし送信する。
-
検索の統計機能を使って必要な表形式メトリクスを生成し、スケジュール設定した SOAR ジョブを実行して、CSV エクスポート・ZIP 圧縮・毎週月曜のメール送信を行います。
検索の統計で表形式データを作り、SOAR ジョブで CSV 化・圧縮・定時メール送信を自動化する構成が要件に最も合致します。
これにより最小限の手作業で、正確なフォーマットと配信の要件を満たせます。
SOAR Reports は定型レポート向けであり、CSV 化・ZIP 圧縮・特定曜日のメール送信という細かい要件は SOAR ジョブのほうが柔軟に満たせます。
Google Cloud 公式ドキュメント:SOAR ジョブのスケジュール実行
