WEB問題集
SOC マネージャーとして、SecOps SIEM のネイティブダッシュボードでは把握しづらい部門別アラート発生数を可視化したいと考えています。最小限の手間でグラフ化する方法はどれですか。
正解:B
正解の根拠
SecOps SIEM 内蔵の Dashboards 機能でカスタムダッシュボードを作成し、UDM フィールドを直接 aggregation する方法が最短です。
| 選択肢 | 必要な作業 | 所要工数 |
|---|---|---|
| A | UI 操作のみ | 低 |
| B/D | 外部連携設定 | 高 |
不正解の理由
- B は BigQuery 連携と Looker Studio の構築が必要で工数が大きいです。
- C はアラート単位の指標が SOAR のケース指標と必ずしも一致しません。
- D は Cloud Monitoring 側にメトリクスを定義する追加作業が発生します。
既存の標準ダッシュボードに自社固有のチャートを追加したいですが、標準テンプレートは編集できません。どのように進めるべきですか。
正解:B
正解の根拠
SecOps の標準ダッシュボードは読み取り専用ですが Clone 機能で複製可能で、複製先は自由に編集できます。
| 操作 | 結果 |
|---|---|
| Clone | 編集可能なコピーが生成 |
| 編集試行 | 標準版は変更不可 |
不正解の理由
- B はサポートでも標準ダッシュボードの編集権限は付与されません。
- C は標準ダッシュボードを削除する手段はありません。
- D は JSON 直接編集ワークフローは公式にサポートされていません。
参考:ダッシュボードの複製
本番環境の重要資産にだけ絞ったアラートチャートを作成したい場合、UDM フィールドのフィルタとして最も適切なものはどれですか。
正解:D
正解の根拠
Asset tag (Asset attribute labels) を利用すると環境分類 (production / dev) でフィルタでき、命名規則の揺れに左右されません。
| 方式 | メンテ性 |
|---|---|
| Asset tag | 高 (集中管理) |
| hostname パターン | 低 (規則破綻に弱い) |
不正解の理由
- A は資産の本番性とは関係なく製品種別のフィルタです。
- C はイベント種別であり資産分類フィルタになりません。
- D は命名規則崩壊で容易に取りこぼしが発生します。
ダッシュボード上で、過去 7 日間のユニークな攻撃元 IP の数を 1 セルで表示したいです。集計方式として正しいものはどれですか。
正解:B
正解の根拠
ユニーク件数の高速集計には distinct count 系関数 approx_distinct を用います。SecOps では HyperLogLog 近似で大規模データに対応します。
| 関数 | 意味 |
|---|---|
| count | レコード総数 |
| approx_distinct | ユニーク数 (近似) |
不正解の理由
- A はレコード数を返し重複が含まれます。
- B は文字列に対する sum は意味を成しません。
- D は文字列の最大値であり目的に合致しません。
参考:UDM 集計関数
ログイン失敗の時間帯別傾向を視覚的に確認したいです。最も適した可視化はどれですか。
正解:D
正解の根拠
時間軸を持つ件数の偏りを示すにはヒストグラム / time-series が標準的選択肢で、ピーク時間帯が視認しやすいです。
| 可視化 | 用途 |
|---|---|
| ヒストグラム | 時間帯分布 |
| 円グラフ | 構成比 |
不正解の理由
- A は時間軸を表現できません。
- B は数値の傾向を直感的に把握できません。
- C は流量遷移用で頻度分布には不向きです。
参考:チャートタイプ