Продолжаем серию статей, которая поможет вам в подготовке к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.

В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат.

1. Какое поле необходимо указать в задаче по сбору журнальных сообщений через модуль wineventlog (отметьте только обязательные поля)?
a. Название;
b. Агент;
c. Каждые… (настройки сканирования по расписанию);
d. Профиль;
e. Транспорты;
f. Группы активов и/или Активы и/или Сетевые адреса.

2. Какие есть возможности ограничения на сбор сообщений Wineventlog?
a. Фильтрация по каналу журнала;
b. Фильтрация по тексту сообщения при помощи wildcard;
c. Фильтрация по тексту сообщения при помощи регулярного выражения;
d. Фильтрация по тексту сообщения при помощи Xpath.

3. Какие поля таксонометрии содержат данные о типе источника события: сетевое оборудования, операционная система и т.п.?
a. event_src.category, event_src.vendor, event_src.title;
b. src.category, src.vendor, src,title;
c. category.generic, cetegory.high, category.low;

4. Чему должен быть равен параметр профиля «input_description_default_time_zone» при сборе журнальных сообщений с Kaspersky Security Center?
a. Часовому поясу KSC в часах;
b. нулю;
c. Часовому поясу KSC в минутах;
d. Часовому поясу KSC в секундах.

5. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPAtrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. Какой адрес указан в поле recv_ipv4?
a. A;
b. B;
c. C;
d. D;
e. E.

6. Перед вам нормализованное событие. Как узнать, когда оно произошло?
a. Посмотреть содержимое поля time;
b. Посмотреть содержимое поля recv_time;
c. Посмотреть содержимое поля start_time;
d. Посмотреть содержимое поля action_time.

7. Каково назначение полю uuid в таксономии события?
a. Первичный индекс в базе Elasticsearch;
b. Уникальный идентификатор события, обязательное поле таксономии, заполняется автоматически;
c. Уникальный идентификатор события, заполняется автоматически;
d. Уникальный идентификатор события, обязательное поле таксономии;

Вопросы на тест PT-SIEM-CS-2.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.