무료 온라인 액세스 Google.Security-Operations-Engineer.v2025-11-20.q18 모의 시험 (Page 3)

Security-Operations-Engineer 문제 6

귀사는 APT(지능형 지속 위협) 공격자가 귀사 환경에서 탐지되지 않은 채 활동했는지 여부를 조사하고 있습니다. 다음과 같은 위협 인텔리전스를 받았습니다.
* 악성 DLL에 대한 SHA256 해시
* 알려진 명령 및 제어(C2) 도메인
* rundll32.exe가 난독화된 인수를 사용하여 powershell.exe를 생성하는 동작 패턴 Google Security Operations(SecOps) 인스턴스에는 EDR, DNS 및 Windows Sysmon의 로그가 포함됩니다.
하지만 최근 Sysmon 구성의 불일치로 인해 모든 엔드포인트에서 프로세스 해시가 안정적으로 캡처되지 않는다는 사실을 발견했습니다. Google SecOps를 사용하여 관련 활동을 식별하는 탐지 메커니즘을 개발해야 합니다. 어떻게 해야 할까요?

A. Google SecOps 검색을 사용하여 rundll32.exe의 최근 사용 사례를 파악하고 영향을 받은 자산에 태그를 지정하여 감시 목록에 추가합니다.

B. 파일 해시를 기반으로 단일 이벤트 YARA-L 감지 규칙을 만들고, 이 규칙을 과거 및 수신 원격 측정 데이터에 대해 실행하여 DLL 실행을 감지합니다.

C. 프로세스 관계와 해시를 연관시키는 다중 이벤트 YARA-L 감지 규칙을 작성하고 이 규칙을 기반으로 레트로헌트를 실행합니다.

D. 해시와 도메인을 포함하는 데이터 테이블을 구축하고, 실시간에 가까운 알림을 위해 목록을 고빈도 규칙에 연결합니다.

Security-Operations-Engineer 문제 7

귀사에서는 온프레미스 방화벽 두 개를 구축했습니다. Syslog를 사용하여 Google 보안 운영팀(SecOps)으로 로그를 전송하도록 방화벽을 구성해야 합니다. 어떻게 해야 할까요?

A. 온프레미스 환경에 Google Ops 에이전트를 배포하고 에이전트를 Syslog 대상으로 설정합니다.

B. Google SecOps 피드 통합을 사용하여 방화벽 로그를 가져옵니다.

C. 온프레미스 환경에 타사 에이전트(예: Bindplane, NXLog)를 배포하고 해당 에이전트를 Syslog 대상으로 설정합니다.

D. Google SecOps URL 인스턴스를 Syslog 대상으로 설정합니다.

정답: A

Google 보안 운영 엔지니어 문서에서 정확히 추출한 150~250단어 분량의 포괄적이고 자세한 설명:
(참고: "입력 오류 수정" 지침에 따라 "Google Ops Agent"(옵션 A)는 "Google SecOps 전달자"로 읽어야 합니다. "Google Ops Agent"는 Cloud Monitoring에 사용되는 잘못된 에이전트입니다.
/Logging인 반면, "Google SecOps 포워더"는 SecOps(Chronicle) 수집을 위한 올바른 에이전트입니다. 옵션 A의 나머지 부분에서는 SecOps 포워더의 기능을 정확하게 설명합니다.) 온프레미스 Syslog 데이터를 Google Security Operations(SecOps)로 수집하기 위한 기본적인 최소 노력 솔루션은 Google SecOps 포워더를 배포하는 것입니다. 이 포워더는 온프레미스 환경에 배포되는 경량 소프트웨어 구성 요소(Linux 바이너리 또는 Docker 컨테이너)입니다.
이 사용 사례에서 SecOps 포워더는 [syslog] 입력으로 구성되어 지정된 TCP 또는 UDP 포트에서 수신 대기하는 Syslog 서버로 실행됩니다. 그런 다음 두 개의 온프레미스 방화벽은 Syslog 스트림을 SecOps 포워더를 실행하는 시스템의 IP 주소와 포트로 전송하도록 구성됩니다. 포워더는 로컬 네트워크에서 Syslog 대상 역할을 하며 로그를 버퍼링, 압축하고 SecOps 플랫폼으로 안전하게 전달합니다. 옵션 C는 유효하지만 타사 솔루션입니다. 옵션 A(수정된 경우)는 Google에서 제공하는 기본 솔루션을 설명합니다. 옵션 B(피드)는 피드가 원격 측정이 아닌 위협 인텔리전스용이므로 올바르지 않습니다.
옵션 D는 SecOps 플랫폼이 URL을 통해 원시 Syslog 트래픽을 직접 허용하지 않으므로 잘못된 옵션입니다.
(참고: Google Cloud 문서, "Google SecOps 데이터 수집 개요", "SecOps 포워더 설치 및 구성", "포워더 구성 구문 - Syslog 입력")

Security-Operations-Engineer 문제 8

Bindplane 에이전트를 사용하여 Google Security Operations(SecOps)로 전송되는 중요 Windows 서버 로그를 모니터링할 책임이 있습니다. 30분 이상 로그가 수집되지 않을 경우 즉시 알림을 받고 싶습니다. 가장 효율적인 알림 솔루션을 사용하고 싶습니다. 어떻게 해야 할까요?

A. Bindplane 프로세스에 오류가 있는 경우 이메일 알림을 보내도록 Windows 서버를 구성합니다.

B. Google SecOps SIEM에서 새로운 YARA-L 규칙을 만들어 30분 내에 서버에서 로그가 없는 것을 감지합니다.

C. Bindplane 에이전트를 구성하여 15분마다 Google SecOps에 하트비트 신호를 보내고, 하트비트가 두 개 누락되면 알림을 생성합니다.

D. 서버 호스트 이름에서 로그가 없는 경우 알림을 트리거하는 Cloud Monitoring의 새 알림 정책을 만듭니다.

Security-Operations-Engineer 문제 9

회사 사용자의 피싱 신고에 대응하기 위한 플레이북을 개발하고 있습니다. 악성 도메인에 접속한 모든 사용자를 식별하기 위해 UDM 쿼리 작업을 구성했습니다. UDM 쿼리에서 사용자를 추출하여 알림에 엔티티로 추가해야 플레이북에서 해당 사용자의 비밀번호를 재설정할 수 있습니다. SOC 분석가의 업무 부담을 최소화하고자 합니다. 어떻게 해야 할까요?

A. 분석가에게 Google SecOps 사용자 인터페이스에 엔터티를 추가하도록 지시하는 Flow 통합의 지침 작업을 구현합니다.

B. Siemplify 통합의 '엔터티 생성' 작업을 사용합니다. 표현식 작성기를 사용하여 엔터티 식별자 매개변수에 사용자 이름을 포함하는 자리 표시자를 만듭니다.

C. Siemplify 통합에서 수동 엔터티 생성 작업을 구성하여 작업 결과에 따라 엔터티 식별자 매개변수를 입력하도록 분석가에게 지시합니다.

D. 엔터티로 지정된 사용자를 사용하여 식별된 각 사용자에 대한 사례를 만듭니다.

Security-Operations-Engineer 문제 10

Google Security Operations(SecOps)에서 YARA-L 탐지 규칙을 생성하는 업무를 맡았습니다. 이 규칙은 내부 호스트가 Applied Threat Intelligence Fusion Feed에서 특정 APT41(Advanced Persistent Threat 41) 위협 그룹에 속하는 지표와 연결하는 외부 IP 주소에 네트워크 연결을 시작하는 시점을 식별해야 합니다. Fusion Feed 내 다른 APT41 지표와 문서화된 관계가 있는 경우 해당 외부 IP 주소에 플래그를 지정해야 합니다. 이 YARA-L 규칙은 어떻게 구성해야 할까요?

A. 네트워크 연결 이벤트의 외부 IP 주소가 모든 APT41 관련 IP 주소의 수동으로 미리 정리된 데이터 테이블의 항목과 일치할 때 트리거되도록 규칙을 구성합니다.

B. 라이브 네트워크 연결 이벤트와 공통 외부 IP 주소에 대한 Fusion Feed 데이터 간의 연결을 설정하는 규칙을 구성합니다. 연결된 Fusion Feed 데이터에서 APT41 위협 그룹 또는 관련 지표와의 명시적인 연관성을 필터링합니다.

C. 네트워크 연결 이벤트의 외부 IP 주소가 활성화된 모든 위협 인텔리전스 피드에서 높은 신뢰 점수를 가지고 있는지 확인하는 규칙을 구성합니다.

D. 외부 IP 주소로의 아웃바운드 네트워크 연결을 감지하도록 규칙을 구성합니다. Fusion Feed를 쿼리하여 IP 주소에 APT41 관계가 있는지 확인하는 Google SecOps SOAR 플레이북을 생성합니다.

정답: B

포괄적이고 자세한 설명
정답은 옵션 B입니다. 이 질문은 ATI(Applied Threat Intelligence) Fusion Feed를 사용할 때 YARA-L의 고급 탐지 기능을 테스트합니다.
핵심 요건은 APT41과 일치할 뿐만 아니라 관련성이 문서화된 IP 주소를 찾는 것입니다. ATI Fusion Feed는 단순한 IOC 목록이 아니라, Google 위협 인텔리전스 팀이 관리하는 지표, 멀웨어, 위협 행위자 및 이들의 관계를 보여주는 맥락 정보가 풍부한 그래프입니다.10
* 옵션 A는 수동적이고 정적 목록(데이터 테이블)을 설명하고 라이브 피드의 관계를 쿼리할 수 없기 때문에 잘못된 옵션입니다.
* 옵션 C는 너무 일반적이므로("높은 신뢰도 점수", "모든 피드") 올바르지 않습니다. 이 요구 사항은 ATI Fusion Feed 및 APT41에만 적용됩니다.
* 옵션 D는 탐지 후 SOAR 동작을 설명하므로 올바르지 않습니다. 이 질문은 YARA-L 탐지 규칙 자체를 구성하여 이러한 상관관계를 수행하는 방법을 명시적으로 묻고 있습니다.
옵션 B는 올바른 YARA-L 2.0 방법론을 설명하는 유일한 옵션입니다. 규칙은 먼저 라이브 이벤트(네트워크 연결)를 정의해야 합니다. 그런 다음 컨텍스트 소스(ATI Fusion Feed)를 정의해야 합니다. 규칙의 이벤트 섹션에서 이벤트의 외부 IP 필드와 Fusion Feed의 IP 표시기 사이에 조인이 설정됩니다. 마지막으로, 규칙은 조인된 컨텍스트 데이터를 필터링하여 threat.threat_actor.name = 과 같은 속성을 찾습니다.
지정된 위협 그룹으로 연결되는 "APT41" 또는 기타 관련 지표입니다.
Google 보안 운영 문서에서 발췌한 정확한 내용:
Applied Threat Intelligence Fusion Feed 개요: Applied Threat Intelligence(ATI) Fusion Feed는 알려진 위협 행위자, 맬웨어 변종, 활성 캠페인 및 완료된 인텔리전스 보고와 관련된 해시, IP, 도메인 및 URL을 포함한 침해 지표(IoC) 모음입니다.12 ATI Fusion Feed로 YARA-L 규칙 작성: ATI Fusion Feed를 사용하는 YARA-L 규칙을 작성하는 과정은 다른 컨텍스트 엔터티 소스를 사용하는 YARA-L 규칙을 작성하는 과정과 유사합니다.13 규칙을 작성하려면 선택한 컨텍스트 엔터티 그래프(이 경우 Fusion Feed)를 필터링합니다.14 컨텍스트 엔터티와 UDM 이벤트 필드의 필드를 조인할 수 있습니다. 다음 예에서는 플레이스홀더 변수 ioc를 사용하여 컨텍스트 엔터티와 이벤트 간에 전이 조인을 수행합니다.
이 규칙은 다수의 이벤트와 일치할 수 있으므로, 특정 정보를 가진 컨텍스트 엔터티와 일치하도록 규칙을 세분화하는 것이 좋습니다. 이를 통해 특정 위협 그룹이나 침해된 환경에서 지표의 존재 여부와 같은 명확한 연관성을 필터링할 수 있습니다.
참고문헌:
Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > 응용 위협 인텔리전스 퓨전 피드 개요 Google Cloud 문서: Google 보안 운영 > 문서 > 탐지 > 컨텍스트 인식 분석 만들기