Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.
В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат.
Вопрос 1.
В ОС Linux пользователь yoda повышает себе привилегии до root при помощи команды su. Что будет записано в поле subject?
a. account
b. host
c. system
d. node
e. computer
Вопрос 2.
В рамках расследования уже случившегося инцидента вы написали новое правило корреляции. Как теперь найти новые события сгенерированные согласно этому правилу?
a. Они появляются в системе автоматически при установке правила из PTKB в SIEM
b. Старые события надо выгрузить и загрузить в систему заново при помощи модуля fileimporter
c. systemНадо сделать задачу на основе модуля retrocorrelator, указав в ней базу с правилами в PTKB и выполнить ее на работающей системе
Вопрос 3.
В поле object.value могут размещаться числа в диапазон от 1 до 65535. Какое выражение на языке PDQL найдет все события где object.value > 1023 ?
Вопрос 4.
как называется утилита, при помощи которой Positive Technologies рекомендует выгружать ненормализованные события для передачи в службу поддержки с целью написания правил нормализации?
a. wget
b. curl
c. elasticsearch
d. export_data
Вопрос 5.
Вы видите некоторое событие в SIEM. В каком каталоге на Агенте расположены все журналы модуля, собравшего это событие?
Вопрос 6.
Перед вами нормализованное событие. Как узнать, какой модуль применялся для сбора события?
a. Модуль указан в поле tag
b. Модуль указан в поле module
c. Сведения о модуле помещаются в журнале нормализатора
d. Нужно поискать содержимое поля task_id в журналах агента.
e. export_data
Вопрос 7.
Актив, у которого до того не было установлено значение контекстной метрики «Требование к конфиденциальности», получил эффективное значение метрики low. Как изменится суммарное значение уязвимости актива, если на нем есть уязвимости, приводящие к ущербу в отношении конфиденциальности узла?
a. Уменьшится либо останется прежней
b. Останется без изменений
c. Увеличится либо останется прежней
d. Уменьшится
e. Увеличится
f. Зависит от других параметров Base Score и Temporal Score