Данная серия статей рассчитана для подготовки к тесту на статус PT-SIEM-CS и не содержит в себе конкретные ответы на вопросы, ответы нужно будет искать самостоятельно в руководствах. Но это поможет вам подготовиться самостоятельно и понимать уровень вопросов.
Напишите в комментариях с какой попытки вам удалось сдать экзамен и какой процент правильных ответов вы получили. Если пришлете варианты своих вопросов, то мы обязательно опубликуем дополнительно.

В комментариях можете выразить свои ответы по вопросам для обсуждения или перейти в наш телеграмм-чат (https://t.me/chat_adminwinru).

1. На закладке «Сбор данных / Мониторинг источников», часть данных узлов трактуется как источник, а часть как форвардеры. Как узлы попадают в источники и в форварды:
a. Это происходит автоматически. При этом если recv_asset = event_rsc.asset, актив попадает в форвардеры, иначе — в источники;
b. Это происходит автоматически. Eсли recv_asset != event_src.asset, актив попадает в форвардеры, иначе — в источники;
c. Список источников заполняется автоматически, затем часть из них вручную можно пометить как форвардеры, заполнив цепочку форвардинга для потока данных;
d. Список форвардеров заполняется автоматически, затем те из них, которые являются реальным источником событий, можно пометить как источники.

2. Какое поле необходимо заполнить в задаче по сбору журнальных сообщений по протоколу syslog?
a. Название;
b. Агент;
c. Транспорты;
d. Профиль;
e. Группы активов и (или) Активы и (или) Сетевые адреса;
f. Каждые… (настройки сканирования по расписанию)

3. Чему должен быть равен параметр профиля «input_description_default_time_zone» при сборе журнальных сообщений с Kaspersky Security Center?
a. Нулю;
b. Часовому поясу KSC в часах;
c. Часовому поясу KSC в секундах;;
d. Часовому поясу KSC в минутах.

4. Вы собираете журнальные сообщения через модуль filemonitor по протоколу SMB в файл \\server\path\filename. Где и как надо указать адрес, по которому расположен файл для мониторинга?
a. path указывается в профиле (опция base_directory);
b. filename указывается в профиле в формате регулярного выражения (опция filename_regex);
c. И server и path указывается в профиле(опция base_directory) как //server/path;
d. path указывается в транспорте (опция base_directory);
e. server указывается в задаче, в поле Группы активов и (или) Активы и (или) Сетевые адреса.

5. Вы собираете журнальные сообщения по протоколу syslog. Вам надо, чтобы агент слушал входящие соединения не на всех интерфейсах 0.0.0.0, а только на интерфейсе с адресом 192.0.2.123, который обращен к источнику. Как это сделать?
a. Указать 192.0.2.123 в задаче, в поле Активы и (или) Сетевые адреса;
b. Отредактировать профиль «udp».{«hostname»:»192.0.2.123″,»port»:»514″};
c. Отредактировать транспорт «udp».{«hostname»:»192.0.2.123″,»port»:»514″}.

6. Какое поле необходимо указать в задаче по сбору журнальных сообщений через модуль wineventlog?
a. Профиль;
b. Название;
c. SecondLogin;
d. Транспорты;
e. Группы активов и/или Активы и/или Сетевые адреса;
f. FirstLogin;
g. Агент;
h. Каждые .. (настройки сканирования по расписанию).

7. Сегодня 12 апреля. В профиле сбора журнала параметр «historical»=true. Только что мы получили событие в котором timestamp задан как 8 марта. Какая дата в каком поле таксонометрии будет записана?
a. recv_time = 12 апреля.
b. recv_time = 8 марта.
c. time = 8 марта.
d. original_time = 8 марта.
e. time = 12 апреля.
f. original_time = 12 апреля.

8. Чтобы просанировать устройство под управлением Cisco IOS в режиме enable, нужно:
a. Создать две учетные записи типа «Логин-пароль» или одну типа «логин пароль», другую типа «пароль» и указать в задаче первую как FirstLogin, а вторую как SecondLogin;
b. Создать две учетные записи типа «Логин-пароль» или одну типа «логин пароль», другую типа «пароль» и указать в профиле первую как FirstLogin, а вторую как SecondLogin;
c. Создать учетную запись типа «Логин-пароль», в расширенных настройках указать дополнительный пароль для повышения привилегий и указать эту учетную запись в профиле;
d. Создать учетную запись типа «Логин-пароль», в расширенных настройках указать дополнительный пароль для повышения привилегий и указать эту учетную запись в задаче.

Вопросы на тест PT-SIEM-CS-5.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.