WEB問題集
SOC アナリストが Google SecOps Cases で新規ケースを受領しました。アラートは EDR からのマルウェア検知で、感染ホストは経理部門の業務 PC です。最初に実施すべき対応はどれですか。
正解:B
正解の根拠
Google SecOps Cases ではトリアージの第一歩としてケースの優先度を確認し、ステータスを New から Opened に遷移して担当者を割り当てます。これにより SLA 計測が開始され、後続の封じ込めや調査が追跡可能になります。
| ステップ | 操作 |
|---|---|
| 1 | Priority 確認 |
| 2 | Status を Opened へ |
| 3 | Assignee 設定 |
不正解の理由
- A: Playbook 全停止はトリアージ前の判断としては過剰な対応です。
- C: 即時再起動は揮発性証拠を消失させ、初動として不適切です。
- D: 物理切断とフォレンジック軽視は証拠保全の原則に反します。
SOAR Playbook で「アナリストが対象ホストを隔離するか判断したうえで実行」したい場合、どのコンポーネントを使用しますか。
正解:B
正解の根拠
アナリストの判断を必要とする手順は Manual action または Approval step として Playbook 内に挿入します。Approval step は他者の承認を待ち、Manual action はアナリスト自身の操作を待機するため、両者の組み合わせで判断と実行を制御できます。
| 種類 | 用途 |
|---|---|
| Manual action | 担当者操作待ち |
| Approval step | 承認者待ち |
不正解の理由
- A: Trigger は起動条件で、人的判断の挿入用途には使えません。
- C: Loop は反復処理で、承認待ち制御の機構ではありません。
- D: リトライ回数の調整は人手判断の代替にはなりません。
本番サーバーで不審なファイル変更と外部 IP からのスキャンを検知しました。証拠を保全しつつ最初に脅威を封じ込める必要があります。実施すべきアクションを 2 つ選んでください。
(2つ選択)
正解:A, C
正解の根拠
EDR quarantine は揮発性証拠を保ったままホストを論理隔離し、Firewall ブロックは攻撃元との通信を遮断します。両者は forensic data preservation を維持しつつ封じ込めを優先する組み合わせです。
| 対策 | 効果 |
|---|---|
| EDR quarantine | 論理隔離・証拠保持 |
| Firewall block | 攻撃元遮断 |
不正解の理由
- B: シャットダウンとフォーマットは揮発性証拠を全消失させます。
- D: パッチ適用と再起動は証拠を破壊し、封じ込めも遅れます。
- E: 利用者通知は重要ですが、初動の封じ込め手段ではありません。
Google SecOps の Default Case View では何を主に表示しますか。
正解:C
正解の根拠
Default Case View はケースのメタデータ、関連アラート、Playbook の進捗、アクション結果を一画面で俯瞰するためのビューです。アナリストはここから個別 Alert View へ遷移して詳細調査を行います。
| ビュー | 主な内容 |
|---|---|
| Default Case View | ケース全体俯瞰 |
| Alert View | 個別アラート詳細 |
不正解の理由
- A: タイムラインのみではケース管理機能を満たせません。
- B: コスト情報は Billing 画面で扱う情報です。
- D: クエリ履歴は SecOps ケース管理の表示対象外です。
Pending Actions widget はどのような場面で活用しますか。
正解:B
正解の根拠
Pending Actions widget は Playbook 実行中に承認待ち、ユーザー入力待ち、リトライ待ちなど未完了状態の Action を一覧化し、アナリストが滞留を解消する作業ハブとして機能します。
| 状態 | 表示 |
|---|---|
| Approval pending | 承認待ち |
| User input | 入力待ち |
不正解の理由
- A: 完了履歴は Closed cases ビューで確認します。
- C: ライセンス使用量はプラットフォーム管理画面の領域です。
- D: VPC フローログは Cloud Logging で扱う情報です。