무료 온라인 액세스 Google.Security-Operations-Engineer.v2025-11-20.q18 모의 시험 (Page 2)

Security-Operations-Engineer 문제 1

귀사는 최근 자체 SOC 및 보안 도구를 보유한 회사 A를 인수했습니다. 이미 회사 A의 보안 원격 분석 데이터 수집을 구성하고 탐지 규칙을 Google Security Operations(SecOps)로 마이그레이션했습니다. 이제 회사 A의 분석가가 Google SecOps에서 사례를 분석할 수 있도록 설정해야 합니다. 회사 A의 분석가가 다음을 수행하도록 해야 합니다.
* 회사 A 외부에서 발생한 사례 데이터에 접근할 수 없습니다.
* 귀하의 조직 직원이 이전에 개발한 플레이북을 재활용할 수 있습니다.
솔루션 구현에 드는 노력을 최소화해야 합니다. 가장 먼저 취해야 할 단계는 무엇일까요?

A. 회사 A에 대한 Google SecOps SOAR 환경을 만듭니다.

B. 회사 A에 대한 새로운 SOC 역할을 정의합니다.

C. 회사 A에 대한 새로운 서비스 계정을 제공합니다.

D. 회사 A를 위해 두 번째 Google SecOps SOAR 테넌트를 인수합니다.

정답: A

포괄적이고 자세한 설명
올바른 해결책은 옵션 A입니다. 이 시나리오에는 데이터 분리(요구 사항 1)와 리소스 공유(요구 사항 2)가 모두 필요하며, 이는 Google SecOps SOAR "환경"의 정확한 사용 사례입니다. Google SecOps SOAR(이전 Siemplify)는 단일 SOAR 테넌트 내에서 환경이라는 멀티 테넌시 기능을 제공합니다. 이 기능은 여러 사업부, 지역 또는 이 사례처럼 새로 인수된 회사와 같이 데이터와 운영을 논리적으로 분리해야 하는 조직을 위해 설계되었습니다.
* 요구 사항 1(데이터 분리) 충족: 회사 A를 위한 새로운 SOAR 환경을 구축하면 수집된 모든 알림과 생성된 사례가 해당 환경 내에서 격리됩니다. 회사 A 환경에만 배정된 분석가는 상위 조직 환경의 사례나 데이터를 볼 수 없습니다.
* 요구 사항 2(플레이북 공유) 충족: 플레이북은 글로벌(테넌트) 수준에서 관리되며 여러 환경에서 공유 또는 할당될 수 있습니다. 이를 통해 회사 A의 분석가는 모회사에서 개발한 기존 플레이북에 접근하여 재활용할 수 있어 재작업을 최소화할 수 있습니다.
* 요구 사항 3(노력 최소화) 충족: 이는 기본 제공되는 저노력 솔루션입니다. 반면, 옵션 D(두 번째 테넌트)는 많은 노력과 비용이 소요되며, 테넌트가 완전히 격리되어 플레이북 공유를 매우 어렵게 만듭니다. 옵션 B(새로운 역할)는 권한(예: 보기, 편집)을 제어하지만 데이터 액세스를 본질적으로 분리하지는 않습니다. 옵션 C(서비스 계정)는 프로그래밍 방식 API 액세스를 위한 것이며, UI에서 작업하는 분석가를 위한 것이 아닙니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
SOAR 환경: Google SecOps SOAR는 환경(Environment)을 사용하여 멀티 테넌시를 지원합니다.6 환경을 사용하면 동일한 SOAR 인스턴스 내에서 고객, 부서 또는 사업부 등 서로 다른 논리적 개체 간에 데이터를 격리할 수 있습니다.7 각 환경은 자체적인 사례, 알림, 자산 및 인시던트 데이터 세트를 갖춘 별도의 작업 공간으로 작동합니다. 이를 통해 한 환경에서 작업하는 사용자와 팀은 명시적으로 권한이 부여되지 않는 한 다른 환경의 데이터에 액세스하거나 볼 수 없습니다.
글로벌 리소스 및 플레이북: 사례와 같은 데이터는 환경별로 분리되는 반면, 플레이북과 같은 주요 SOAR 구성 요소는 글로벌 범위에서 관리됩니다. 이를 통해 플레이북을 중앙에서 생성, 테스트 및 관리하고 모든 환경에서 사용할 수 있도록 제공할 수 있습니다. 이 기능을 통해 멀티 테넌트 구성에서도 리소스 재사용 및 대응 절차 표준화가 가능합니다.
참고문헌:
Google Cloud 문서: Google 보안 운영 > 문서 > SOAR > SOAR 관리 > 환경 Google Cloud 문서: Google 보안 운영 > 문서 > SOAR > 플레이북 > 플레이북 관리

Security-Operations-Engineer 문제 2

귀하는 새로운 Google 보안 운영(SecOps) 고객이 SOC 팀의 액세스를 구성하도록 돕고 있습니다.
고객의 Google SecOps 관리자는 현재 Google SecOps 인스턴스에 액세스할 수 있습니다. 고객은 SOC 팀 구성원이 인스턴스 액세스 권한을 얻지 못하고 있지만, 타사 ID 공급업체(IdP)에서는 인증할 수 있다고 보고합니다. 이 문제를 어떻게 해결해야 할까요?
2개의 답을 선택하세요

A. Chronicle API를 사용하여 Google SecOps를 Google Cloud 프로젝트에 연결합니다.

B. Workforce Identity Federation을 사용하여 Google SecOps를 타사 IdP와 연결합니다.

C. IAM에서 SOC 팀의 IdP 그룹에 적절한 데이터 액세스 범위를 부여합니다.

D. IAM에서 SOC 팀의 IdP 그룹에 roles/chronicle.viewer 역할을 부여합니다.

E. Google SecOps SOAR 고급 설정에서 해당 IdP 그룹에 기본 권한을 부여합니다.

정답: D,E

포괄적이고 자세한 설명
이 시나리오는 인증이 성공했음에도 불구하고 권한 부여가 실패하는 일반적인 구성 작업을 설명합니다. 이 문제는 Google SecOps가 이중 권한 부여 모델을 사용한다는 사실에서 비롯됩니다. 하나는 기본 플랫폼(SIEM/Chronicle)을 위한 것이고 다른 하나는 SOAR 모듈을 위한 것입니다. SOC 팀에는 두 가지 모두 필요합니다.
프롬프트에서 관리자에게 이미 액세스 권한이 있다고 명시되어 있는데, 이는 프로젝트 연결(옵션 A) 및 Workforce Identity Federation 구성(옵션 B)과 같은 필수 단계가 이미 완료되었음을 나타냅니다. 이 문제는 새로운 SOC 팀 그룹에만 해당됩니다.
* 인스턴스 액세스 수정(옵션 D):
"인스턴스 액세스 권한이 없음" 오류는 기본 Google Cloud 수준 권한을 나타냅니다. Google SecOps 애플리케이션 자체에 대한 액세스는 연결된 프로젝트의 Google Cloud IAM 역할에 의해 제어됩니다.1 타사 IdP에서 페더레이션된 SOC 팀 그룹은 IAM에서 principalSet으로 표현됩니다. 로그인을 허용하려면 이 principalSet에 IAM 역할이 부여되어야 합니다. roles/chronicle.
뷰어 역할은 이 애플리케이션에 액세스 권한을 부여하는 데 필요한 최소한의 사전 정의된 역할입니다.
* SOAR 액세스 수정(옵션 E):
단순히 IAM 역할(옵션 D)을 부여하는 것만으로는 SOC 팀이 업무를 수행하기에 충분하지 않습니다. 해당 역할은 주 SIEM 인터페이스에 접근할 수 있도록 하는 역할일 뿐입니다. SOAR 모듈(사례 관리 및 플레이북용)에는 자체적인 내부 역할 기반 접근 제어 시스템이 있습니다. 관리자는 SecOps 플랫폼 내에서 SOAR 고급 설정 > 사용자 및 그룹으로 이동하여 SOC 팀의 페더레이션 그룹에 "기본" 또는 "분석가"와 같은 SOAR 관련 권한을 부여해야 합니다. 두 단계 모두 "문제를 완전히 해결"하고 SOC 팀에 플랫폼에 대한 기능적 접근 권한을 제공하기 위해 필요합니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
ID 및 액세스 관리: 타사 IdP를 사용하여 Google SecOps 인스턴스에 액세스하려면 Workforce Identity Federation을 사용해야 하지만, 권한 부여는 두 개의 별도 위치에서 구성됩니다.
* Google Cloud IAM: 기본 SecOps 인스턴스(SIEM 인터페이스 포함)에 대한 권한 부여는 Google Cloud IAM에서 제어합니다.2 타사 IdP의 페더레이션된 ID(그룹)는 principalSet에 매핑됩니다. 이 principalSet에는 SecOps 인스턴스에 연결된 Google Cloud 프로젝트에 대한 IAM 역할이 부여되어야 합니다. roles/chronicle.viewer 역할은 로그인 액세스 권한을 부여하는 데 필요한 최소 사전 정의된 역할입니다.
* Google SecOps SOAR: SOAR 모듈(사례 관리 및 플레이북용)에 대한 권한은 독립적으로 관리됩니다.3 관리자는 SOAR 고급 설정 > 사용자 및 그룹으로 이동하여 동일한 페더레이션 IdP 그룹에 SOAR 관련 역할(예: '기본' 또는 '분석가')을 할당해야 합니다.
참고문헌:
Google Cloud 문서: Google 보안 운영 > 문서 > 온보딩 > 타사 ID 공급자 구성 Google Cloud 문서: Google 보안 운영 > 문서 > SOAR > SOAR 관리 > 사용자 및 그룹

Security-Operations-Engineer 문제 3

조직의 보안 전략을 개발하고 있습니다. Google Security Operations(SecOps)와 Google Threat Intelligence(GTI)를 사용할 계획입니다. 멀티 클라우드 및 온프레미스 시스템 전반에서 탐지 및 대응 기능을 강화해야 합니다. 이러한 제품을 어떻게 통합해야 할까요?
2개의 답을 선택하세요

A. GTI IOC를 보안 이벤트로 Google SecOps에 수집합니다.

B. 온프레미스 및 클라우드 보안 로그를 이벤트로 Google SecOps SIEM에 수집합니다.

C. 온프레미스 및 클라우드 보안 로그를 엔터티로 Google SecOps SIEM에 수집합니다.

D. GTI와 Google SecOps SOAR 통합을 사용하여 이벤트를 풍부하게 만듭니다.

E. 엔터티 강화를 위해 GTI와 Google SecOps SOAR 통합을 사용합니다.

정답: B,D

포괄적이고 자세한 설명
정답은 B와 D입니다. 이는 현대 SecOps 플랫폼의 두 가지 주요 기능인 SIEM(탐지)과 SOAR(대응)을 정확하게 설명하고 있기 때문입니다.
* 옵션 B: (탐지 전략) SIEM의 근본적인 목적은 탐지를 수행하는 것입니다. 이를 위해 먼저 원격 측정(로그)을 이벤트로 수집해야 합니다. 이는 모든 탐지 및 대응 전략의 기본 단계입니다. 온프레미스(예: 방화벽, Active Directory) 및 멀티 클라우드(예: AWS CloudTrail, Azure 활동 로그)의 모든 로그는 Google SecOps에 수집되고, 통합 데이터 모델(UDM)로 정규화되어 이벤트로 저장됩니다. 이를 통해 탐지 규칙이 실행됩니다.
(옵션 C는 로그가 엔터티가 아닌 이벤트이므로 올바르지 않습니다.)
* 옵션 D: (대응 전략) SOAR의 근본적인 목적은 탐지에 대한 대응을 조율하고 자동화하는 것입니다. 이러한 대응의 핵심은 이벤트 강화(또는 더 구체적으로는 관찰 가능 항목 강화)입니다. SOAR에서 경보가 수집되면 플레이북이 실행됩니다. 이 플레이북은 GTI의 일부인 Mandiant 또는 VirusTotal과 같은 연동 기능을 사용하여 경보의 관찰 가능 항목(IP, 해시, 도메인)에 대한 실시간 컨텍스트를 쿼리합니다. 이러한 강화는 분석가가 결정을 내리는 데 도움을 주거나 플레이북이 격리 조치를 자동화할 수 있도록 합니다.
옵션 A는 GTI가 이벤트가 아닌 컨텍스트(엔터티 그래프 및 Fusion Feed)로 수집되므로 잘못된 것입니다.
옵션 E는 "엔터티 강화"(예: AD에서 사용자 데이터 추가)가 SIEM 수집 수준에서 발생하는 반면, SOAR 통합은 알림/이벤트에 대한 주문형 강화를 수행하기 때문에 잘못된 설명입니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
Google SecOps 데이터 수집: Google Security Operations는 고객 로그를 수집하고, 데이터를 정규화하고, 보안 알림을 감지합니다. Google SecOps는 포워더, Bindplane 에이전트, 수집 API, Google Cloud를 사용하여 데이터를 수집합니다. 파서는 고객 시스템의 로그를 통합 데이터 모델(UDM) 이벤트로 변환합니다.
Mandiant Threat Intelligence를 Google SecOps와 통합: 이 문서는 Mandiant Threat Intelligence를 Google Security Operations(Google SecOps)와 통합하는 방법에 대한 지침을 제공합니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다.
행위:
* 엔티티 강화: 엔티티 강화 작업을 사용하면 Mandiant Threat Intelligence의 정보를 사용하여 엔티티를 강화할 수 있습니다. 이 작업은 호스트 이름, IP 주소, URL, 파일 해시와 같은 Google SecOps 엔티티에서 실행됩니다.
* IOC 강화: 이 작업을 사용하여 손상 지표를 강화합니다.
참고문헌:
Google Cloud 문서: Google 보안 운영 > 문서 > SecOps > Google SecOps 데이터 수집 Google Cloud 문서: Google 보안 운영 > 문서 > SOAR > 마켓플레이스 통합 > Mandiant 위협 인텔리전스

Security-Operations-Engineer 문제 4

귀사는 멀티 클라우드 환경을 도입하고 있습니다. Google Security Operations(SecOps)를 사용하여 위협에 대한 포괄적인 모니터링을 구성해야 합니다. 가능한 한 빨리 위협을 식별하고 싶으실 것입니다.
어떻게 해야 할까요?

A. Gemini를 사용하여 멀티 클라우드 사용 사례에 대한 YARA-L 규칙을 생성합니다.

B. 클라우드 위협 카테고리에서 큐레이팅된 탐지를 사용하여 클라우드 환경을 모니터링합니다.

C. 적용된 위협 인텔리전스에 대한 큐레이트된 탐지 기능을 사용하여 회사의 클라우드 환경을 모니터링합니다.

D. 회사의 클라우드 환경을 모니터링하기 위해 Google에서 권장하는 규칙 세트를 제공해 달라고 클라우드 고객 서비스에 요청하세요.

정답: B

포괄적이고 자세한 설명
올바른 해결책은 옵션 B입니다. 핵심 요건은 "종합적인 모니터링"과 "멀티 클라우드 환경"에서의 "가능한 한 빨리"입니다. Google Security Operations는 Google Cloud Threat Intelligence(GCTI) 팀이 관리하는 즉시 사용 가능한 완전 관리형 규칙 세트인 큐레이티드 탐지(Curated Detections)를 제공합니다. 이러한 규칙은 수동 규칙 작성, 조정 또는 유지 관리 없이 즉각적인 가치와 광범위한 위협 탐지 범위를 제공하도록 설계되었습니다.
큐레이션된 탐지 라이브러리 내에서 클라우드 위협 범주는 클라우드 인프라에 대한 위협을 탐지하도록 설계된 특정 규칙 집합입니다. 이 범주는 Google Cloud에만 국한되지 않으며, AWS 및 Azure를 포함한 멀티 클라우드 환경에서 발생하는 이상 동작, 잘못된 구성 및 알려진 공격 패턴을 탐지하는 기능을 명시적으로 포함합니다.
이 범주를 활성화하는 것이 요구 사항을 충족하는 가장 빠르고 효과적인 방법입니다. 옵션 A(Gemini 사용)는 규칙을 생성, 검증 및 테스트하는 데 수동 작업이 필요합니다. 옵션 C(응용 위협 인텔리전스)는 GCTI의 알려진 고영향 침해 지표(IOC)를 매칭하는 데 주로 중점을 두는 다른 범주로, "클라우드 위협" 범주의 동작 기반 규칙보다 포괄적이지 않습니다.
옵션 D는 절차적으로 올바르지 않습니다. 고객 지원팀에서 지원을 제공하지만 탐지 콘텐츠는 SecOps 플랫폼 내에서 직접 제공됩니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
Google SecOps 큐레이티드 탐지: Google Security Operations는 Google Cloud Threat Intelligence(GCTI)에서 생성 및 관리하는 큐레이팅된 탐지 라이브러리에 대한 액세스를 제공합니다. 이러한 규칙 세트는 위협 탐지 기능의 기준을 제공하며 지속적으로 업데이트됩니다.
선별된 탐지 범주: 탐지 기능은 조직의 요구 사항과 데이터 소스에 따라 활성화할 수 있는 범주로 그룹화됩니다. '클라우드 위협' 범주는 클라우드 환경을 표적으로 하는 위협에 대한 광범위한 범위를 제공합니다. 이 규칙 세트에는 GCP, AWS, Azure 전반에서 이상 활동 및 일반적인 공격 기법에 대한 탐지가 포함되어 있어 멀티 클라우드 배포 보안에 이상적인 선택입니다.
이 범주를 활성화하면 조직에서 위협을 즉시 식별할 수 있습니다.
참고문헌:
Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > 큐레이트된 탐지 > 큐레이트된 탐지 규칙 세트 Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > 큐레이트된 탐지 > Cloud Threats 규칙 세트

Security-Operations-Engineer 문제 5

귀하는 조직 환경에서 의심스러운 활동과 보안 이벤트를 식별할 책임이 있습니다.
principal.ip 필드에 192.168.2.0/24 서브넷의 IP 주소가 하나 이상 포함되어 있을 때 일부 탐지 규칙이 오탐(false positive)을 생성하는 것을 발견했습니다. principal.ip 반복 필드를 사용하여 이러한 탐지 규칙을 개선하려고 합니다. YARA-L 탐지 규칙에 무엇을 추가해야 할까요?

A. net.ip_in_range_cidr(모든 $e.principal.ip, "192.168.2.0/24")

B. net.ip_in_range_cidr(모든 $e.principal.ip, "192.168.2.0/24")

C. net.ip_in_range_cidr(모든 $e.principal.ip, "192.168.2.0/24")가 아닙니다.

D. net.ip_in_range_cidr(모든 $e.principal.ip, "192.168.2.0/24")가 아닙니다.

정답: D

포괄적이고 자세한 설명
올바른 해결책은 옵션 D입니다. 목표는 주체가 다음과 같은 경우 이벤트를 제외하는 것입니다(즉, 거짓 양성을 중지하는 것).
ip 필드에는 신뢰할 수 있는 192.168.2.0/24 서브넷의 모든 IP가 포함됩니다.
UDM의 principal.ip 필드는 반복되는 필드이므로 값 배열을 보유할 수 있습니다(예: ["1.2.3.4",
"192.168.2.5"]). YARA-L은 반복되는 필드를 처리하기 위한 모든 양화사를 제공합니다.9
* $e.principal.ip: 배열에 있는 IP 중 적어도 하나가 조건을 충족하는지 확인합니다.
* 모든 $e.principal.ip: 배열의 모든 IP가 조건을 충족하는지 확인합니다.
함수 net.ip_in_range_cidr(...)는 IP가 지정된 범위에 있는 경우 true를 반환합니다.
따라서 우리에게 필요한 논리는 "principal.ip 필드에 있는 IP 중 하나가 다음 위치에 있는 경우 이 규칙을 트리거하지 마십시오"입니다.
192.168.2.0/24 범위."
이는 YARA-L 구문으로 직접 변환됩니다: not net.ip_in_range_cidr(any $e.principal.ip, "192.168.2.0/24")
* 옵션 B는 해당 서브넷의 이벤트만 찾습니다.
* 옵션 A는 연관된 모든 IP가 해당 서브넷에 있는 이벤트만 찾습니다.
* 옵션 C는 A의 논리적 역이며 악의적일 수 있는 이벤트를 잘못 필터링합니다(예:
예를 들어 ["1.2.3.4", "192.168.2.5"]는 모든 IP가 범위에 있지 않기 때문에 제외되지 않습니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
YARA-L 2.0 언어 구문 > 반복 필드 및 부울 표현식: 함수 호출과 같은 부울 표현식이 반복 필드에 적용되는 경우 any 또는 all 키워드를 사용하여 표현식을 평가하는 방법을 지정할 수 있습니다.10
* 모든 <반복 필드>: 표현식은 반복 필드의 값 중 하나 이상에 대해 참이면 참으로 평가됩니다.
* 모든 <반복 필드>: 표현식은 반복 필드의 모든 값에 대해 참인 경우에만 참으로 평가됩니다.
함수 > net.ip_in_range_cidr: net.ip_in_range_cidr 함수는 규칙을 네트워크의 특정 부분에 바인딩하는 데 유용합니다.11 RFC1918에 정의된 모든 개인 넷블록을 제외하려면 기준의 시작 부분에 not을 추가할 수 있습니다.
(net.ip_in_range_cidr(any $e.principal.ip, "10.0.0.0/8") 또는 net.ip_in_range_cidr(any $e.principal.ip,
"172.16.0.0/12") 또는 net.ip_in_range_cidr(모든 $e.principal.ip, "192.168.0.0/16")) 참조:
Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > YARA-L 2.0 언어 구문 Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > YARA-L 2.0 함수 > net.ip_in_range_cidr