Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.
В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат (https://t.me/chat_adminwinru).
1. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPatrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. Какой адрес указан в поле dst.ip?
a. A;
b. B;
c. C;
d. D;
e. E.
2. У вас в локальной сети есть узел 172.31.234.123 и вы хотите построить отчет, в котором перечислены все соединения этого узла с внешним узлом 192.0.2.123 с распределением по времени. Ваши действия?
a. Выпустить отчет Статистика событий по исходящим соединениям. Требуемые ограничения указать в диалоге построения отчета на языке PDQL:(src.ip=»172.31.234.123″) AND (dst.ip=»192.0.2.123″);
b. Выпустить отчет Статистика событий по исходящим соединениям. В мастере построения отчета нельзя задать выражения на PDQL, но можно указать фильтры, ограничивающие сети и узлы, открывающие друг к другу соединения;
c. Надо создать отчет Статистика событий по исходящим соединениям за временной промежуток, максимально приближенный к интервалу, когда открывались интересующие нас события;
d. Создать фильтры PDQL (src.ip=»172.31.234.123″) AND (dst.ip=»192.0.2.123″). Затем выпустить отчет Статистика событий по исходящим соединениям.
3. Перед вами стоит задача построить инвентаризационный отчет по активам. как можно ограничить число активов, на основе информации о которых будет построен отчет?
a. Задать фильтр в диалоге построения отчета;
b. Отчет будет построен по всем активам, известным MaxPatrol SIEM;
c. Создать группу (динамическую или статическую — неважно), выделить ее щелчком мыши и построить требуемый отчет;
d. Создать пользовательскую инфраструктуру и поместить в нее интересующие вас активы.
4. Какой компонент применяется для хранения и обработки данных об активах информационной системы?
a. Ядро;
b. Агент;
c. RMQHost;
d. Сканер;
e. SIEM.
5. Какой компонент PT MAx Patrol SIEM предназначен для хранения журнальных данных?
a. Ядро;
b. Агент;
c. RMQHost;
d. Сканер;
e. SIEM;
f. Storage.
6. Компонент Update and Configuration Service (UCS) предназначен для:
a. Обновления компонента MaxPatrol SIEM (ядро, агент);
b. Обновления базы с уязвимостями программного и аппаратного обеспечения;
c. Централизованного конфигурирования нескольких SIEM;
d. Обновления компонента мишеней в рамках централизованного патч-менеджмента;
e. Обновления базы с правилами нормализации и корреляции.
7. Расположите действия в порядке обработки системой MaxPatrol SIEM.
a. Корреляция;
b. Агрегация;
c. Нормализация;
d. Обогащение.
8. Перед вам нормализованное событие. Как узнать, какой модуль применялся для сбора события?
a. Модуль указан в поле tag;
b. Сведения о модуле помещаются в журнал нормализатора;
c. Модуль указан в поле module;
d. Сведения о модуле помещаются в журнал нормализатора.
Вопросы на тест PT-SIEM-CS-3 .