WEB問題集
SOC アナリストが直近 7 日間の Windows プロセス起動イベントから、特定の親子プロセス関係(例: winword.exe → powershell.exe)の出現件数を集計したい場合、Google SecOps で最も適切な操作は何ですか。
正解:B
正解の根拠
UDM Search では Aggregation 機能で任意フィールドのグルーピングと件数集計が可能で、親子プロセス関係の頻度調査に最適です。
| 用途 | 機能 |
|---|---|
| 正規化済みフィールド集計 | UDM Search + group by |
| 未正規化文字列の探索 | Raw Log Scan |
不正解の理由
- A: Raw Log Scan は集計機能を持たず頻度分析に向きません。
- C: ルール作成は探索段階の集計には過剰で目的に合いません。
- D: Entity Explorer は単一エンティティの詳細表示で集計用途には不向きです。
参考:UDM Search
新たに公開された IOC(特定ハッシュ値)が、過去 90 日間の自社環境に出現していたかを Google SecOps で確認する最も適切な方法はどれですか。
正解:C
正解の根拠
UDM Search はハッシュ値を含む正規化済みフィールドに対して長期間の履歴ログ調査が可能で、IOC sweep に最も適しています。
| 調査対象 | UDM フィールド |
|---|---|
| ファイルハッシュ | target.file.sha256 |
| 送信先 IP | target.ip |
不正解の理由
- B: Entity Explorer はエンティティ単位の参照で IOC の網羅検索に不向きです。
- A: live ルールは将来の検知が中心で、過去調査には Retrohunt が必要です。
- D: UEBA スコアはユーザー振る舞いの統計で IOC 一致確認には使えません。
参考:UDM Search
過去に作成済みの YARA-L 検知ルールを、新たに収集された 30 日分のログにも遡及的に適用したい場合、どの機能を使うべきですか。
正解:D
正解の根拠
Retrohunt は既存のルールを過去ログに対して再実行する機能で、新規ルールやチューニング後のルールの過去適用に使用します。
| 用途 | 機能 |
|---|---|
| 過去ログへのルール再適用 | Retrohunt |
| 正規化済み履歴検索 | UDM Search |
不正解の理由
- A: Pivot は検索結果からの分岐操作で過去ルール適用ではありません。
- B: Raw Log Scan は文字列検索でルール適用機能を持ちません。
- C: Entity Highlights はエンティティ概要表示で遡及実行はできません。
参考:Retrohunt
あるユーザー alice@example.com から到達可能な資産(ログオン端末、アクセスしたクラウドリソース、関与したサービスアカウント)を関係性付きで俯瞰したい場合、Google SecOps で最も適した画面はどれですか。
正解:B
正解の根拠
Entity Explorer はユーザー、資産、ドメイン、ハッシュなどのエンティティ間関係を可視化し、関連資産への到達性把握に最適です。
| 表示要素 | 内容 |
|---|---|
| 関連エンティティ | 端末、SA、IP、ドメイン |
| 時系列イベント | 関与ログのサマリ |
不正解の理由
- A: Risk Analytics は統計スコアの俯瞰で関係グラフは持ちません。
- C: Raw Log Scan は文字列ベースで関係性追跡に不向きです。
- D: Rules Editor は検知ロジック作成画面で関係性表示はしません。
仮説駆動型ハンティング(Hypothesis-driven hunting)を Google SecOps で実施する際、適切な手順を 2 つ選んでください。
(2つ選択)
正解:A, C
正解の根拠
仮説駆動型は ATT&CK などのフレームワークに基づき仮説を立て、UDM Search 等で証拠を収集する反復プロセスです。
| ステップ | 例 |
|---|---|
| 仮説設定 | T1059 PowerShell 実行 |
| 証拠収集 | UDM Search 集計 |
不正解の理由
- B: アラートの無効化は検知体制を壊し業務影響が大きく不要です。
- D: Curated Detection の削除は基本検知能力を失わせる危険な操作です。
参考:MITRE ATT&CK