Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.
В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат.
Вопрос 1. В чем отличие динамических групп от статических?
a. Динамические группы наполняются автоматически согласно сформулированным при создании группы критериям.
b. Статическая группы выступает в качестве контейнера, который может содержать в себе динамические группы, иные статические группы, а также отдельные активы, помещенные в нее вручную.
c. В динамического группу можно налету заносить пользователей, чтобы потом использовать признак членства в группе в модельной корреляции.
d. Динамическая группа выступает в качестве динамического контейнера, который может содержать в себе группы, отвечающие заданному наперед критерию.
Вопрос 2. Откуда берется значение параметра «значимость актива»?
a. Задается пользователем вручную.
b. Вычисляется на основе всех пяти контекстных метрик CVSS.
c. Вычисляется исходя из роли устройства.
d. Вычисляется на основе трех метрик CVSS.
Вопрос 3. У актива установлена контекстная метрика «Требования к конфиденциальности» — низкая. Актив входит в несколько вложенных групп. Самая глубоко вложенная группа, в которую входит актив, тмееь метрику «Требования к конфиденциальности» средняя. Внешняя группа имеет метрику «Требования к конфиденциальности» высокая. Каково итоговое эффективное значение метрики «Требования к конфиденциальности» у рассматриваемого актива?
a. Высокая.
b. Значение не определено.
c. Низкая
d. Средняя.
Вопрос 4. Откуда берется значение параметра «значимость актива»?
a. Задается пользователем вручную.
b. Вычисляется на основе всех пяти контекстных метрик CVSS.
c. Вычисляется исходя из роли устройства.
d. Вычисляется на основе трех метрик CVSS.
Вопрос 5. Вы собираете журнальные сообщения через модуль filemonitor по протоколу SMB с файла \\server\path\filename. Где и как надо указать адрес, по которому расположен файл для мониторинга?
a. Весь путь \\server\path\filename указывается в профиле (Обработка событий\источник), при этом бэкспеш меняется на слеш: //server/path/filename.
b. filename указывается в профиле в форме wildcard (Обработка событий\источник).
c. И server, и path указывается в профиле (Обработка событий\источник) в формате /server/path.
d. server указывается в задаче, в поле Группы активов и (или) Активы и (или) Сетевые адреса.
e. path указывается в профиле (Обработка событий\источник)
f. filename указывается в профиле в форме регулярного выражения (Обработка событий\источник).
Вопрос 6. Если задача (syslog) на сбор журнальных сообщений долго не оканчивается, что это значит ?
a. Это нормально, задача на сбор журнальных сообщений не имеет конца.
b. В задаче указан слишком большой диапазон целей (сеть класса А)
c. Утеряна связь между ядром и агентом. Ядро не знает, что задача закончилась.
d. Задача запускается по расписанию, при этом выбран слишком малый период перезапуска задачи. Задача не успевает окончиться, как снова запускается по расписанию.
e. Возможно, это проблема браузера. Надо очистить куки (Ctrl+Shift+Del) и зайти в систему заново.
Вопрос 7. Сегодня 12 апреля. В профиле сбора журнала параметр «historical»=false. Только что мы получили событие в котором timestamp задан как 8 марта. Какая дата в каком поле таксонометрии будет записана?
a. recv_time = 12 апреля.
b. recv_time = 8 марта.
c. time = 8 марта.
d. original_time = 8 марта.
e. time = 12 апреля.
f. original_time = 12 апреля.