Professional Security Operations Engineer

Die Zertifizierung Google Cloud Professional Security Operations Engineer bestätigt die Fähigkeit, Sicherheitsbedrohungen gegen Workloads, Endpunkte und Infrastruktur mithilfe von Google-Cloud-Ressourcen zu erkennen, zu überwachen, zu analysieren, zu untersuchen und darauf zu reagieren. Diese Prüfung konzentriert sich auf Google Security Operations (SecOps) und Security Command Center (SCC) und prüft Kenntnisse im Schreiben von Erkennungsregeln, in der Priorisierung und Aufnahme von Logs, in der Orchestrierung und Reaktionsautomatisierung sowie in der Nutzung von Posture und Threat Intelligence für Erkennung und Reaktion.

Die Zertifizierung deckt sechs Bereiche ab: Platform Operations (Konfiguration und Integration von Sicherheitstools), Data Management (Log-Ingestion und Entity Baselining), Threat Hunting (proaktive Bedrohungserkennung mithilfe von Queries und Threat Intelligence), Detection Engineering (Erstellung von Erkennungsregeln und risikobasiertem Alerting), Incident Response (Eindämmung, Untersuchung, Playbooks und Case Management) sowie Observability (Dashboards, Reporting und Health Monitoring).

Die Prüfung besteht aus 50–60 Multiple-Choice- und Multiple-Select-Fragen, die in 2 Stunden zu beantworten sind. Die Fragen prüfen praktische Kenntnisse zu den SIEM/SOAR-Funktionen von Google Security Operations (ehemals Chronicle) und den Funktionen von Security Command Center. Die Prüfung ist auf Englisch und Japanisch verfügbar, die Anmeldegebühr beträgt 200 USD zuzüglich anfallender Steuern.

Häufige Fallstricke sind das Verwechseln der Funktionen von Security Command Center (SCC) und Google Security Operations (SecOps) – man sollte wissen, welches Tool welche Funktion übernimmt. Beherrsche die YARA-L-Regelsyntax für Fragen zum Detection Engineering, die den größten Bereich ausmachen (22 %). Übersehe nicht den Unterschied zwischen SCC Event Threat Detection (automatisiert, integriert) und Googles benutzerdefinierten SecOps-Erkennungsregeln. Sei dir über den Unterschied zwischen Parser-Modifikationen und -Erweiterungen in SecOps zur Datennormalisierung im Klaren. Verstehe bei Fragen zur Incident Response den gesamten Lebenszyklus von SOAR-Playbooks einschließlich der Case-Management-Phasen und Eskalationsabläufe. Wisse, wann Logs Explorer, Log Analytics oder BigQuery für verschiedene Untersuchungsszenarien einzusetzen sind.

Die Prüfung kann online mit Remote-Proctoring oder in einem Testzentrum vor Ort abgelegt werden. Es gibt keine formalen Voraussetzungen, Google empfiehlt jedoch mehr als 3 Jahre Erfahrung in der Sicherheitsbranche, davon mehr als 1 Jahr praktische Erfahrung mit Google-Cloud-Sicherheitstools. Für die Zertifizierung gilt ein Erneuerungszeitraum. Die Anmeldung erfolgt über Certmetrics unter cp.certmetrics.com/google.