PSOE#1(threat-hunting)

SOC アナリストが直近 7 日間の Windows プロセス起動イベントから、特定の親子プロセス関係（例: winword.exe → powershell.exe）の出現件数を集計したい場合、Google SecOps で最も適切な操作は何ですか。

A. Raw Log Scan で powershell.exe を検索し、構造化された UDM フィールドを使わずに全文一致のテキストスキャンで親プロセスとの関係を都度推定するという、集計効率も精度も大きく劣る手順に切り替えていく方式を選びます
B. UDM Search で principal.process.parent_process.file.full_path と target.process.file.full_path を group by して集計する
C. Rules Editor で YARA-L ルールを作成し live ステータスで投入し、ハンティング目的の単発集計に対しても永続的な検知ルールを本番環境にデプロイする運用に切り替え、ルール群を不要に肥大化させる構成にします
D. Entity Explorer で powershell.exe のエンティティを開き、特定プロセス名のエンティティビューから親子プロセス関係の出現件数を間接的に読み解く操作で代替する運用に置き換え、件数集計の正確性を諦める方式を採ります

正解と解説ディスカッション 0

正解：B

UDM Search では Aggregation 機能で任意フィールドのグルーピングと件数集計が可能で、親子プロセス関係の頻度調査に最適です。

用途	機能
正規化済みフィールド集計	UDM Search + group by
未正規化文字列の探索	Raw Log Scan

コメント