Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.
В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат (https://t.me/chat_adminwinru).
1. Запрос http://storage:9200/_cat/indices?v позволяет узнать:
a. Содержимое индексов;
b. Объем данных приходящийся на каждый индекс;
c. Целостность индексов базы;
d. Список индексов базы Elasticsearch;
e. Интенсивность операций чтения/записи по каждому индексу.
2. Какой журнал необходимо предоставить в техническую поддержку при сбое в пользовательском интерфейсе MaxPatrol SIEM?
a. Понадобится журнал службы frontend: C:\ProgramData\Positive Technologies\MaxPatrol SIEM Core\FrontendMicroservice.log;
b. Понадобится журнал IIS с ядра системы. Журналы хранятся в каталоге C:\ProgramData\Microsoft\IIS\logs;
c. Понадобится журнал службы frontend: C:\ProgramData\Positive Technologies\MaxPatrol SIEM Server\log\frontend.log;
d. Понадобится журнал IIS с ядра системы. В Event Viewer Раскрыть ветвь Custom Views / Server Roles / Web Server (IIS) и нажать справа кнопку Save All Evenets in Custom View;
d. HAr-файл, сохраненный из консоли разработчика в браузере, а также журналы компонента, с которым есть потенциальная проблема.
3. Каково назначение поля reason в таксономии события?
a. Описание причины по которой произошло событие;
b. Описание причины по которой событие было отправлено агентом в очередь на RMQHost, а не отфильтровано на ранней стадии;
c. Описание причины, по которой событие было собрано агентом (указание на задачу по сбору событий);
d. Описание причины, по которой событие было отображено в UI MaxPAtrol SIEM.
4. Каково назначение поля tag в таксономии события?
a. Хранение информации о модуле агента, который произвел сбор данного события. Проставляется автоматически;
b. Хранение информации о типе агента (HCM? NetFlow? простой агент), который произвел сбор данного события. Проставляется автоматически;
c. Произвольный тег, присваиваемый для быстрого поиска события в базе. Проставляется правилом нормализации;
d. Поле применяется при анализе событий NrtFlow, хранит значение тега протокола 802.1q (номер VLAN);
5. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPatrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. Какой адрес указан в поле event_src.ip?
a. A;
b. B;
c. C;
d. D;
e. E.
6. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPatrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. Какой адрес указан в поле src.ip?
a. A;
b. B;
c. C;
d. D;
e. E.
7. Злоумышленник с узла А провел атаку на узел В. IDS, установленная на узел С, обнаружила это и сообщила агенту MaxPatrol SIEM. Сообщение к агенту пришло с адреса D, сам агент имеет адрес Е. В каком поле таксономии будет храниться адрес Е?
a. Нигде;
b. src.ip;
c. event_src.ip;
d. dstp.ip;
e. recv_ipv4.
8. Чему должен быть равен параметр профиля «input_description_default_time_zone» при сборе журнальных сообщений с Chekpoint?
a. нулю;
b. Часовому поясу Chekpoint’a в часах;
c. Часовому поясу Chekpoint’a в секундах;
d. Часовому поясу Chekpoint’a в минутах;
Вопросы на тест PT-SIEM-CS-4.