Professional Security Operations Engineer

La certification Google Cloud Professional Security Operations Engineer valide la capacité à détecter, surveiller, analyser, investiguer et répondre aux menaces de sécurité visant les charges de travail, les endpoints et l'infrastructure à l'aide des ressources Google Cloud. Cet examen porte sur Google Security Operations (SecOps) et Security Command Center (SCC), en évaluant la maîtrise de la rédaction de règles de détection, de la priorisation et de l'ingestion des logs, de l'orchestration et de l'automatisation de la réponse, ainsi que de l'utilisation de la posture et de la threat intelligence pour la détection et la réponse.

La certification couvre six domaines : Platform Operations (configuration et intégration des outils de sécurité), Data Management (ingestion des logs et établissement de baselines d'entités), Threat Hunting (identification proactive des menaces à l'aide de requêtes et de threat intelligence), Detection Engineering (création de règles de détection et alerting basé sur le risque), Incident Response (confinement, investigation, playbooks et gestion des cas) et Observability (tableaux de bord, reporting et surveillance de la santé).

L'examen comprend 50 à 60 questions à choix multiple et à choix multiples à compléter en 2 heures. Les questions évaluent les connaissances pratiques des capacités SIEM/SOAR de Google Security Operations (anciennement Chronicle) et des fonctionnalités de Security Command Center. L'examen est disponible en anglais et en japonais, avec des frais d'inscription de 200 USD plus les taxes applicables.

Les pièges courants incluent la confusion entre les capacités de Security Command Center (SCC) et celles de Google Security Operations (SecOps) — il faut savoir quel outil gère quelle fonction. Maîtrisez la syntaxe des règles YARA-L pour les questions de detection engineering, qui constituent le plus grand domaine (22 %). Ne négligez pas la différence entre SCC Event Threat Detection (automatisé, intégré) et les règles de détection personnalisées de Google SecOps. Soyez au clair sur les modifications de parser par rapport aux extensions dans SecOps pour la normalisation des données. Pour les questions d'incident response, comprenez l'intégralité du cycle de vie d'un playbook SOAR, y compris les étapes de gestion des cas et les workflows d'escalade. Sachez quand utiliser Logs Explorer, Log Analytics ou BigQuery selon les différents scénarios d'investigation.

L'examen peut être passé en ligne avec surveillance à distance ou dans un centre d'examen sur site. Il n'y a pas de prérequis formels, bien que Google recommande plus de 3 ans d'expérience dans le secteur de la sécurité, dont plus d'un an d'expérience pratique avec les outils de sécurité Google Cloud. La certification est soumise à une période d'éligibilité au renouvellement. L'inscription se fait via Certmetrics à cp.certmetrics.com/google.