【PSOE】WEB問題集:データ管理編

WEB問題集

PSOE#1(data-management)

GCPプロジェクトで発生する管理者によるリソース変更操作をGoogle SecOpsに取り込み、IAMポリシー変更を検知したいと考えています。最低限取り込むべきCloud Auditログの種類はどれですか。

A. Admin Activity 監査ログ
B. Data Read 監査ログ (データ読み取り操作の証跡を網羅する種別であり、IAM ポリシー変更そのものは記録対象外となる種別です)
C. Data Write 監査ログ (データ書き込み操作の証跡を網羅する種別で、管理操作の系統とは別レイヤーで個別有効化するタイプの監査ログ種別です)
D. System Event 監査ログ (Google が自動で行うシステムイベントの記録を行う種別で、利用者操作の IAM 変更ログを取得する目的には適さない種別です)

正解と解説ディスカッション 0

正解：A

正解の根拠

IAMポリシーの変更やリソース構成の変更は Admin Activity 監査ログに記録され、デフォルトで有効化されています。SecOps の GCP フィードでは Admin Activity を選択するだけで取り込みが可能です。

監査ログ種別	主な記録内容	デフォルト
Admin Activity	IAM変更、リソース作成/削除	有効
Data Access	データ参照/書込	無効
System Event	GCP内部のシステム動作	有効

不正解の理由

B: Data Read はデータの参照を記録するもので、IAM変更は記録されません。
C: Data Write はデータの書込を記録するもので、ポリシー変更とは異なります。
D: System Event はGCP内部の自動操作ログで、管理者操作の検知には不適です。

参考：Cloud Audit Logs

PSOE#2(data-management)

SecOps で取り込んだログのタイムスタンプが UTC ではなくローカル時刻で記録されており、event timestamp と log timestamp に大きなズレが生じています。最適な恒久対策はどれですか。

A. Custom parser でタイムゾーン変換を明示的に記述する
B. ログソース側を再構成し、すべて UTC で出力させる
C. Reference list を使ってタイムゾーン補正値を保持する
D. Data table を作成して時刻補正を保持する

正解と解説ディスカッション 0

正解：A

正解の根拠

ログソース側の変更が困難な場合、Custom parser 内で時刻フィールドに対し timezone を明示してパースすることが推奨される運用です。SecOps のパーサー DSL では convert.timestamp に timezone 指定が可能です。

対策	適用範囲	恒久性
Custom parser 補正	SecOps側で完結	高
ログソース変更	全システム影響	困難な場合あり
Reference list	静的リスト用途	不適

不正解の理由

B: 理想ですがソース側の変更は組織横断の調整が必要で、即応性に欠けます。
C: Reference list は文字列やCIDRの照合に使い、時刻補正の用途ではありません。
D: Data table はキー/値のルックアップ用で、パーサーの時刻処理は担いません。

参考：Parser syntax

PSOE#3(data-management)

ベンダーが提供する Default parser に新しい補助フィールドを追加したいだけで、既存のロジックは流用したい場合に最適な機能はどれですか。

A. Custom parser に置き換える
B. Parser extension を作成する
C. Configuration-Based Normalization を作成する
D. DataTap を作成する

正解と解説ディスカッション 0

正解：B

正解の根拠

Parser extension は既存のデフォルトパーサーを上書きせずに、追加フィールドのマッピングのみを定義できる仕組みです。デフォルトパーサーの更新も継続的に受け取れます。

機能	用途	既定パーサー更新
Parser extension	追加フィールド付与	受け取る
Custom parser	全面置換	受け取らない
CBN	構造的正規化	非対象

不正解の理由

A: Custom parser はデフォルトを完全に置き換えるため、ベンダー更新の恩恵を失います。
C: CBN は YAML ベースの正規化で、フィールド追加の局所的な要件には大げさです。
D: DataTap はログのコピー出力機能で、パース処理は実施しません。

参考：Parser extensions

PSOE#4(data-management)

SecOps で社内の特権ユーザー一覧を保持し、UDM 検索やルールから principal.user.userid を照合できるようにしたいと考えています。最適な機能はどれですか。

A. Reference list (CIDR)
B. Reference list (regex)
C. Reference list (string)
D. Data table (multi-column)

正解と解説ディスカッション 0

正解：C

正解の根拠

userid のような完全一致のリスト照合には string タイプの Reference list が最適です。シンプルかつコストが低く、in 演算子で利用できます。

タイプ	用途	例
string	完全一致	ユーザーID
regex	パターン一致	ホスト名規則
CIDR	IP範囲	10.0.0.0/8

不正解の理由

B: regex は不要に複雑で、平文ID照合のオーバーヘッドが増えます。
A: CIDR は IP アドレス専用で、userid には適合しません。
D: Data table は複数列のルックアップ用で、単純な所属判定には過剰です。

参考：Reference lists

PSOE#5(data-management)

SecOps の Data table を活用したい状況として最も適切なものはどれですか。

A. VIP の userid 一覧の所属判定だけを行いたい
B. 正規表現で URL カテゴリを表現したい
C. 業務ネットワークの CIDR を 1 列で保持したい
D. ホスト名と部門名・所有者メールを多列で関連付けたい

正解と解説ディスカッション 0

正解：D

正解の根拠

Data table は複数列の key/value ルックアップを提供し、ホスト名から複数の属性を取り出すユースケースに適合します。YARA-L のルールから join のように利用できます。

機能	列数	典型用途
Reference list	1	所属判定
Data table	複数	属性ルックアップ

不正解の理由

A: 単一列の所属判定は Reference list で十分です。
C: CIDR の単一列保持は Reference list (CIDR) が適しています。
B: 正規表現の集合は Reference list (regex) が標準的です。

参考：Data tables