Google Cloud認定に新試験Professional Security Operations Engineerが追加されたので試験概要を調べてみた

Google Cloud認定のプロフェッショナルレベルに新しい試験が追加されました。

Google Cloud
Professional Security Operations Engineer  |  Learn  |  Google Cloud
https://cloud.google.com/learn/certification/security-operations-engineer
A Google Cloud Certified Professional Security Operations Engineer detects, monitors, analyzes, investigates, and responds to security threats against workloads, endpoints, and infrastructure.


試験はまだベータ版なので英語のみ80問3時間のボリュームで受験には体力がいりそうです。
その代わり落ちても受験回数のペナルティには含まれないようです。

試験ガイドが用意されているのでGeminiで日本語翻訳してみました。

Google Cloud 認定 Professional Security Operations Engineer は、ワークロード、エンドポイント、インフラストラクチャに対するセキュリティ上の脅威を検知、監視、分析、調査し、対応します。この担当者は、Google Cloud のリソースを使用して企業の環境を保護し、検知ルールの作成、ログの優先順位付けと取り込み、オーケストレーション、およびレスポンスの自動化に精通しています。さらに、この担当者は、セキュリティ体制と脅威インテリジェンスを活用した検知と対応の経験を持っています。

セクション1: プラットフォームの運用(試験の約14%)

1.1 検知と対応の強化。考慮事項は次のとおりです。

  • 企業の環境内でインシデントや設定ミスを検知するためのテレメトリソース(例: Security Command Center [SCC]、Google Security Operations [SecOps]、GTI、IDS)の優先順位付け
  • 検知能力を強化するために、セキュリティアーキテクチャに複数のツール(例: SCC、Google SecOps、GTI、IDS、ダウンストリームのサードパーティシステム)を統合する
  • 一連の要件に基づき、機能が重複するツールの使用を正当化する
  • 既存のツールの有効性を評価し、カバレッジのギャップを特定し、潜在的な脅威を軽減する
  • 既存の検知および対応プロセスを強化するための自動化ツールとクラウドベースのツールを評価する

1.2 アクセスの構成。考慮事項は次のとおりです。

  • セキュリティツール(例: SCC、Google SecOps)へのユーザーおよびサービスアカウントの認証を構成する
  • IAM のロールと権限を使用して、機能へのアクセスに関するユーザーおよびサービスアカウントの認可を構成する
  • IAM のロールと権限を使用して、データへのアクセスに関するユーザーおよびサービスアカウントの認可を構成する
  • ソリューションの監査ログ(例: Cloud Audit Logs、データアクセスログ)を構成および分析する
  • セキュリティツール内の自動化のためのAPIアクセスを構成する(例: サービスアカウント、APIキー、SCC、Google SecOps、GTI)
  • Workforce Identity Federation を使用してIDをプロビジョニングする

セクション2: データ管理(試験の約14%)

2.1 セキュリティツール用のログの取り込み。考慮事項は次のとおりです。

  • セキュリティツール(例: SCC、Google SecOps)内でのデータ取り込みのアプローチを決定する
  • セキュリティツール(例: SCC、Google SecOps)内の取り込みツールまたは機能を構成する
  • セキュリティツール(例: SCC Event Threat Detection、Google SecOps)内で、自動化されたソースを含む、検知と対応に必要なログを評価する
  • Google SecOps でのデータ取り込み用のパーサーを評価する
  • Google SecOps でパーサーの変更または拡張を構成する
  • Google SecOps でのログソースからのデータ正規化技術を評価する
  • データ取り込み用の新しいラベルを評価する
  • ログと取り込みのコストを管理する

2.2 ユーザー、アセット、エンティティコンテキストのベースラインの特定。考慮事項は次のとおりです。

  • 企業環境における関連する脅威インテリジェンス情報を特定する
  • イベントデータとエンティティデータのログソース(例: Cloud Audit Logs、Active Directory の組織コンテキスト)を区別する
  • エイリアスフィールドを使用して、エンリッチメントのためのイベントデータとエンティティデータの照合を評価する

セクション3: 脅威ハンティング(試験の約19%)

3.1 環境を横断した脅威ハンティングの実行。考慮事項は次のとおりです。

  • 環境ログを横断して検索し、異常なアクティビティを特定するためのクエリを開発する
  • ユーザーの行動を分析して異常なアクティビティを特定する
  • Google Cloud ツール(例: Logs Explorer、Log Analytics、BigQuery、Google SecOps)を使用して、ネットワーク、エンドポイント、サービスを調査し、脅威のパターンや侵害の痕跡(IOC)を特定する
  • インシデント対応チームと協力して、環境内のアクティブな脅威を特定する
  • 行動、脅威インテリジェンス、セキュリティ体制、インシデントデータ(例: SCC、GTI)に基づいて仮説を立てる

3.2 脅威ハンティングのための脅威インテリジェンスの活用。考慮事項は次のとおりです。

  • 履歴ログ内の侵害の痕跡(IOC)を検索する
  • 脅威インテリジェンスとリスク評価(例: GTI、検知ルール、SCC の有害な組み合わせ)を使用して、新しい攻撃パターンとテクニックをリアルタイムで特定する
  • エンティティのリスクスコアを分析して異常な行動を特定する
  • 新たにエンリッチされたログ(例: Google SecOps ルールエンジン、BigQuery、Cloud Logging)を使用して、過去のイベントデータの比較とレトロハント(遡及的検索)を実行する
  • 脅威インテリジェンス(例: GTI、検知ルール)を使用して、潜在的な脅威を積極的に検索する

セクション4: 検知エンジニアリング(試験の約22%)

4.1 リスクを検知し脅威を特定するためのメカニズムの開発と実装。考慮事項は次のとおりです。

  • 脅威インテリジェンスとユーザーおよびアセットのアクティビティを照合する
  • ログとイベントを分析して異常なアクティビティを特定する
  • 検知ルールと複数のタイムラインにわたる検索を使用して、不審な行動パターンを評価する
  • リスク値(例: Google SecOps の参照リスト)を使用して、リスクプロファイルに一致する脅威を特定する検知ルールを設計する
  • アセットやユーザーの異常な行動を発見し、その検知にリスク値を割り当てる(例: Google SecOps Risk Analytics、キュレートされた検知ルール)
  • 環境内のセキュリティ体制やリスクプロファイルの変更を発見するための検知ルールを設計する(例: SCC Security Health Analytics [SHA]、SCC のセキュリティ体制管理、Google SecOps)
  • 様々な方法(例: YARA-L ルールの作成、ダッシュボード)を用いて、脅威インテリジェンスソースに現れない、新規または出現頻度の低いプロセス、ドメイン、IPアドレスを特定する
  • 検知ルールの精度を向上させるために、エンティティ/コンテキストデータをどのように使用するかを評価する(例: Google SecOps エンティティグラフ)
  • 侵害の痕跡(IOC)に対応する SCC Event Threat Detection のカスタムディテクタを構成する

4.2 検知のための脅威インテリジェンスの活用。考慮事項は次のとおりです。

  • 侵害の痕跡(IOC)のリスクレベルに基づいてアラートをスコアリングする
  • 取り込まれたセキュリティテレメトリ内で最新の侵害の痕跡(IOC)を使用して検索する
  • 繰り返し発生するアラートの頻度を測定し、誤検知を特定して削減する

セクション5: インシデント対応(試験の約21%)

5.1 セキュリティインシデントの封じ込めと調査。考慮事項は次のとおりです。

  • フォレンジックイメージやアーティファクトを含む、インシデントの範囲に関する証拠を収集する
  • セキュリティツール(例: SCC、Google SecOps)を使用して、インシデントに関連するアラートを監視および分析する
  • セキュリティツール(例: Logs Explorer、Log Analytics、BigQuery、Cloud Logging、Cloud Monitoring)を使用して、インシデントの範囲を分析する
  • 検知および長期的な修復作業のために、他のエンジニアリングチームと協力する
  • さらなる損害や攻撃の拡大を防ぐために、影響を受けたサービスやプロセスを隔離する
  • フォレンジック分析(例: ハッシュ、IP、URL、バイナリ)に基づいて特定されたアーティファクトを分析する(GTI)
  • セキュリティツール(例: SCC、Google SecOps SIEM)を使用して根本原因分析を実行する

5.2 対応プレイブックの構築、実装、使用。考慮事項は次のとおりです。

  • 自動化に適した対応手順を決定する
  • 脅威プロファイルに基づいて価値の高いエンリッチメントを優先順位付けする
  • プレイブックで活用すべき適切な統合を評価する
  • 最近のインシデントから特定された新しい攻撃パターンに対応する新しいプロセスを設計する
  • 現在の実装におけるギャップに基づいて、新しいオーケストレーションと自動化プレイブックを推奨する(例: Google SecOps SOAR)
  • インシデントをアナリストやステークホルダーに通知するメカニズムを実装する

5.3 ケース管理ライフサイクルの実装。考慮事項は次のとおりです。

  • ケースを適切な対応ステージに割り当てる
  • ケースのエスカレーションのための効率的なワークフローを実装する
  • ケースの引き継ぎの有効性を評価する

セクション6: 可観測性(試験の約10%)

6.1 インサイトを提供するためのダッシュボードとレポートの開発と維持。考慮事項は次のとおりです。

  • 主要なセキュリティ分析(例: メトリクス、KPI、トレンド)を特定する
  • セキュリティテレメトリ、取り込みメトリクス、検知、アラート、侵害の痕跡(IOC)を可視化するためのダッシュボードを実装する(例: Google SecOps SOAR, SIEM, Looker Studio)
  • レポートを生成およびカスタマイズする(例: Google SecOps SOAR, SIEM)

6.2 ヘルスモニタリングとアラートの構成。考慮事項は次のとおりです。

  • ヘルスモニタリングとアラートのための重要なメトリクスを特定する
  • メトリクスを集中管理するダッシュボードを作成する
  • 特定のメトリクスにしきい値を設定したアラートを作成する
  • Google Cloud ツール(例: Cloud Monitoring)を使用して通知を構成する
  • Google Cloud ツール(例: Cloud Logging)を使用してヘルスの問題を特定する
  • サイレントソース(ログが停止したソース)の検知を構成する

試験名にも表されているようにProfessional Cloud Security Engineerと比べてよりオペレーション的な部分への理解が必要ですね。Security Command Center(SCC)が頻出になりそうです。

SecOpsへの需要の高まりを見越した試験追加でしょうか。

図解即戦力 Google Cloudのしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版]

調べてみたGoogle Cloud, Google Cloud認定, 資格

Posted by danishi