PDF無料ダウンロードにはPCNSE日本語有効な練習テスト問題 [Q127-Q145]

PDF無料ダウンロードにはPCNSE日本語有効な練習テスト問題

PCNSE日本語テストエンジンお試しセット、PCNSE日本語問題集PDF

質問 # 127
ネットワーク管理者は、いくつかの許可された URL カテゴリでフィッシングサイトへのドメインユーザー名とパスワードの提出を防ごうとしています。

A. [User Credential Submission] 列で URL カテゴリを選択し、ブロックするアクションを設定します [User credential Detection] タブを選択し、[use IP User Mapping Commit] を選択します
B. [User Credential Submission] 列で URL カテゴリを選択し、ブロックするアクションを設定します URL フィルタリング設定を選択し、Domain Credential Filter Commit を有効にします
C. [User Credential Submission] 列で URL カテゴリを選択し、ブロックするアクションを設定します [User credential Detection] タブを選択し、[Use Domain Credential Filter Commit] を選択します
D. [サイトアクセス] 列で URL カテゴリを選択し、ブロックするアクションを設定します [ユーザー資格情報の検出] タブをクリックし、[IP ユーザーマッピングのコミット] を選択します

正解：C

解説：
Explanation
credential phishing prevention works by scanning username and password submissions to websites and comparing those submissions to known corporate credentials. You can configure solutions that detect and prevent credential phishing using URL filtering profiles and User-ID agents.

質問 # 128
復号化戦略を策定し、企業ユーザーがアクセスするためにどの Web サイトが必要かを評価するプロセス中に、技術的な理由により復号化できないサイトがいくつか特定されました。
この場合、技術的な理由はサポートされていない暗号です。したがって、これらのサイトへのトラフィックは、復号化されるとブロックされます。
エンジニアはどのように進めるべきでしょうか?

A. これらのサイトへのアクセスを許可するセキュリティポリシーを作成します。
B. セキュリティ体制を向上させるために、ファイアウォールによるサイトのブロックを許可します。
C. サポートされていない暗号をファイアウォールにインストールして、サイトの復号化を許可します。
D. サイトを SSL 復号化除外リストに追加して、復号化から除外します。

正解：D

解説：
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/decryption/decryption-exclusions

質問 # 129
WildFireが分析されたサンプルに提供できる3つの可能性のある判定は何ですか？（3つ選択）

A. Bengin
B. Suspicious
C. Clean
D. Adware
E. Grayware
F. Malware

正解：A、E、F

解説：
https://www.paloaltonetworks.com/documentation/70/pan-os/newfeaturesguide/wildfire-features/wildfire-grayware-verdict

質問 # 130
アクティブファイアウォールが HA ピアとの通信を失ったときに、パッシブファイアウォールが引き継ぐまでに待機する時間を決定するのはいつですか?

A. プロモーション保留時間
B. 追加のマスター待機時間
C. 落下保持時間の監視
D. ハートビート間隔

正解：D

質問 # 131
情報セキュリティは、Windows ユーザー ID エージェントでセキュリティイベント監視を使用して、ネットワーク内の IP からユーザーへのマッピングを行うことにより、グループベースのポリシーを実施しています。ロールアウト中に、情報セキュリティは、VPN とワイヤレスネットワークに対するユーザー認証のギャップを特定しました。
根本原因の分析により、ユーザーが RADIUS 経由で認証を行っており、監視されているドメインコントローラーで認証イベントがキャプチャされていないことがわかりました。情報セキュリティは、認証イベントが ID 管理ソリューション (IDM) に存在することを発見しました。PAN-OS と IDM ソリューションの間の直接的な統合は見られませんでした情報セキュリティは、VPN およびワイヤレスユーザーの認証イベントから IP とユーザーのマッピング情報をどのように抽出して学習することができますか?

A. VPN およびワイヤレスユーザーのセキュリティイベント監視を実行するために、不足している可能性のあるドメインコントローラーを追加します。
B. 汎 OS ファイアウォールでユーザー ID XML API を構成して、IDM ソリューションから認証イベントを直接プルします。
C. TLS 経由で Syslog メッセージを受け入れるように、PAN-OS で統合されたユーザー ID エージェントを構成します。
D. Windows ユーザー ID エージェントを構成して、IP からユーザーへのマッピングについて VPN コンセントレーターとワイヤレスコントローラーを監視します。

正解：B

解説：
Explanation
According to the Palo Alto Networks documentation1, the User-ID XML API is a feature that allows external systems to send user mapping information to the firewall or Panorama using XML messages over HTTPS. The User-ID XML API can be used to integrate with third-party identity management solutions (IDM) that can provide authentication events for VPN and wireless users. Therefore, the correct answer is C.
The other options are not effective or relevant for extracting and learning IP-to-user mapping information from authentication events for VPN and wireless users:
Add domain controllers that might be missing to perform security-event monitoring for VPN and wireless users: This option would not help because the root cause analysis showed that authentication events were not captured on the domain controllers that were being monitored. Adding more domain controllers would not change this fact, unless they were configured to receive authentication events from RADIUS servers, which is not mentioned in the scenario.
Configure the integrated User-ID agent on PAN-OS to accept Syslog messages over TLS: This option would not help because it assumes that the IDM solution can send Syslogmessages over TLS, which is not mentioned in the scenario. Moreover, Syslog messages are less reliable and secure than XML messages for user mapping information.
Configure the Windows User-ID agents to monitor the VPN concentrators and wireless controllers for IP-to-User mapping: This option would not help because it assumes that the VPN concentrators and wireless controllers can provide IP-to-User mapping information, which is not mentioned in the scenario. Moreover, this option would require additional configuration and maintenance of Windows User-ID agents, which may not be feasible or scalable.
References: 1:
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/user-id/map-ip-addresses-to-users/send-user-mappin

質問 # 132

画像を確認します。Web トラフィックを許可するファイアウォールポリシーには、「アラート - 脅威」プロファイル一致リストに一致するトラフィックの結果は?

A. 脅威に一致するトラフィックの送信元アドレスは、180 分間、BadGuys として自動的にタグ付けされます。
B. 脅威に一致する SMTP トラフィックの送信元アドレスは、BadGuys として 180 分間自動的にブロックされます。
C. 脅威に一致する SMTP トラフィックの送信元アドレスは、180 分間、BadGuys として自動的にタグ付けされます。
D. 脅威に一致するトラフィックの送信元アドレスは、BadGuys として 180 分間自動的にブロックされます。

正解：A

解説：
Explanation
The threat profile has the action set to "alert" which means that the traffic is allowed but logged. The profile also has the "Tag Source IP" option enabled with the tag name "BadGuys" and the timeout value of 180 minutes. This means that any source IP address that matches a threat signature will be tagged with "BadGuys" for 180 minutes. The tag can be used for dynamic address groups or external dynamic lists to enforce policy actions based on the tag. References: :
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/threat-prevention/set-up-antivirus-anti-spyware-an

質問 # 133
管理対象デバイスに動的更新を展開するために Panorama が提供する 3 つのオプションはどれですか? （3つ選んでください。）

A. ファイルからインストール
B. 依存関係をチェック
C. コンテンツを元に戻す
D. スケジュール
E. 検証

正解：A、C、D

解説：
Panorama offers three options for deploying dynamic updates to its managed devices: Schedules, Install from file, and Revert content. Schedules allows the administrator to configure a recurring schedule for downloading and installing dynamic updates from the Palo Alto Networks update server. Install from file allows the administrator to manually upload and install a dynamic update file from a local system. Revert content allows the administrator to revert to a previous version of a dynamic update in case of any issues with the current version. Option A is incorrect because Verify is not an option for deploying dynamic updates on Panorama. Verify is an option for validating the configuration on Panorama or a managed device. Option D is incorrect because Check dependencies is not an option for deploying dynamic updates on Panorama. Check dependencies is an option for checking if a configuration change affects other settings on Panorama or a managed device.

質問 # 134
エンジニアは、ファイアウォールが App-ID で識別できないアプリケーションを見つけるために、トラフィックログを確認する任務を負っています。申請フィールドが不完全と表示されるのはなぜですか?

A. TCP コネクション確立後のアプリケーションデータが不足しています。
B. TCP 接続が完全に確立されませんでした。
C. TCP 接続は、アプリケーションデータを識別せずに終了しました。
D. クライアントは、PUSH フラグが設定された TCP セグメントを送信しました。

正解：B

解説：
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClibCAC Incomplete in the application field: Incomplete means that either the three-way TCP handshake did not complete OR the three-way TCP handshake did complete but there was no enough data after the handshake to identify the application. In other words that traffic being seen is not really an application. One example is, if a client sends a server a SYN and the Palo Alto Networks device creates a session for that SYN , but the server never sends a SYN ACK back to the client, then that session is incomplete.

質問 # 135

A. Option D
B. Option B
C. Option E
D. Option F
E. Option C
F. Option A

正解：B、C、D、E

質問 # 136
HAタイマー設定に関する正しい説明はどれですか。

A. 一般的なフェイルオーバータイマー設定には中程度のプロファイルを使用します
B. フェイルオーバータイマーの設定を遅くするには、アグレッシブプロファイルを使用します。
C. フェイルオーバータイマーの設定を高速化するには、クリティカルプロファイルを使用します。
D. 一般的なフェイルオーバータイマー設定に推奨プロファイルを使用する

正解：B

質問 # 137

A. Virtual router
B. ARP entries
C. Security zone
D. Netflow Profile

正解：C、D

質問 # 138
用語を対応する定義に一致させます

正解：

解説：

質問 # 139
リモート管理者は、信頼できないインターフェイスでファイアウォールアクセスを必要とします。Web Ul に対する証明書ベースの管理者認証を構成するために、ファイアウォールで必要な 2 つのコンポーネントはどれですか? (2つ選んでください)

A. 証明書プロファイル
B. 認証局 (CA) 証明書
C. サーバー証明書
D. クライアント証明書

正解：A、B

解説：
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/firewall-administration/manage-firewall-administrators/configure-administrative-accounts-and-authentication/configure-certificate-based-administrator-authentication-to-the-web-interface.html

質問 # 140
大企業のネットワークセキュリティエンジニアは、PA-5060ファイアウォールをインストールして、企業のPCI環境を本番ネットワークから分離しました。同社のネットワークエンジニアは、両方のネットワークセグメントのスイッチの構成を変更し、それらを新しいファイアウォールに接続しました。
ただし、カットオーバーの直後に、ユーザーは遅延について不満を漏らし始め、一部のサーバーは通信を停止しました。2つのネットワークセグメント間のトラフィックを拒否するセキュリティポリシーはありません。ethernet1/1にインターフェースの設定ミスがあると思われます。
問題のトラブルシューティングに使用する必要がある2つのコマンドはどれですか？（2つ選択してください。）

A. インターフェース論理を表示
B. show interface ethernet1 / 1
C. インターフェース管理を表示
D. インターフェースハードウェアを表示

正解：A、B

質問 # 141
管理者は、Active Directory で定義された特定のユーザーおよびグループへのトラフィックを許可するセキュリティルールをデバイスグループに構築する必要があります。
Panorama からこれらのルールのユーザーとグループを選択するには、何を設定する必要がありますか?

A. グループマッピングが設定されたマスターデバイスは、セキュリティルールが設定されているデバイスグループに設定する必要があります。
B. ユーザー ID 証明書プロファイルを Panorama で設定する必要があります。
C. すべてのファイアウォールが同じマッピングを持つようにするには、Panorama でユーザー ID の再配布を設定する必要があります。
D. セキュリティルールはデバイスグループ内のファイアウォールを対象にしており、グループマッピングが構成されている必要があります。

正解：A

解説：
When building Security rules in a Device Group that need to allow traffic to specific users and groups defined in Active Directory, it's essential to have user and group information available in Panorama to select these entities for the rules.
D . A master device with Group Mapping configured must be set in the device group where the Security rules are configured:
The concept of a "master device" in Panorama refers to a specific firewall that is designated to provide certain settings or information, such as user and group mappings from Active Directory, to Panorama. This information can then be used across other firewalls within the same device group.
By configuring Group Mapping on a master device, Panorama can leverage this information to populate user and group objects. These objects can then be used in Security rules within the device group, allowing for the creation of policies that are based on user identity and group membership, as defined in Active Directory.
This setup ensures that Panorama has the necessary context to apply user- and group-based policies accurately across the managed firewalls, facilitating centralized management and consistency in policy enforcement.

質問 # 142
エンジニアは、高可用性 (HA) 設定を確認して、最近の HA フェイルオーバーイベントを理解します。以下のスクリーンショットを確認してください。

HA ピアが ICMP (ping) の形式でメッセージを交換する頻度を決定するタイマー

A. プロモーション保留時間
B. フェイルホールドアップ時間の監視
C. ハートビート間隔
D. ハローインターバル

正解：C

解説：
Explanation
The heartbeat interval determines the frequency at which the HA peers exchange messages in the form of an ICMP (ping). The default value is 1000 milliseconds (1 second). The heartbeat interval is used to detect failures and trigger failover in an HA pair1. The other options are not correct. The hello interval determines the frequency at which the HA peers exchange messages in the form of an HA packet. The default value is
3000 milliseconds (3 seconds). The hello interval is used to establish and maintain HA connectivity2. The promotion hold time determines the amount of time that a passive firewall waits before it becomes active after detecting a failure on the active firewall. The default value is 5000 milliseconds (5 seconds)3. The monitor fail hold up time determines the amount of time that a firewall waits before it declares a monitor failure after detecting a link down event on an interface. The default value is 2000 milliseconds (2 seconds)4. References:
1: https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/ha-concepts/ha-timers 2:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/ha-concepts/ha-timers 3:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/ha-concepts/ha-timers 4:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/ha-concepts/ha-timers

質問 # 143
ある企業は、あらゆる種類のファイルを WildFire パブリッククラウドに転送するように WildFire 分析プロファイルを構成します。会社の従業員が、悪意のあるポータブル実行可能ファイル (PE) ファイルをダウンロードする不明なリンクを含む電子メールを受信しました。
リンクをクリックすると、Advanced WildFire は何をしますか?

A. リンクされたページでは悪意のあるコンテンツの分析を実行しませんが、対応する PE ファイルでは実行します。
B. リンクされたページで悪意のあるコンテンツ分析を実行しますが、対応する PE ファイルは実行しません。
C. リンクされたページまたは対応する PE ファイルのいずれかで悪意のあるコンテンツ分析を実行しません。
D. リンクされたページと対応する PE ファイルに対して悪意のあるコンテンツ分析を実行します。

正解：A

解説：
Palo Alto Networks' WildFire service is designed to perform advanced analysis on files to identify and protect against new and evolving threats. When a WildFire analysis profile is configured to forward any file type to the WildFire public cloud, the service analyzes files that pass through the firewall based on the policy configuration.
D: Does not perform malicious content analysis on the linked page, but performs it on the corresponding PE file:
* When a user clicks on an unknown link that downloads a Portable Executable (PE) file, WildFire's primary focus is on the file itself rather than the webpage from which it originated. The service analyzes the PE file to determine if it contains malicious content. This analysis includes static and dynamic inspection techniques to uncover any malicious behavior.
* The webpage hosting the link may not be analyzed as part of this process unless specific protections or URL filtering policies are in place that trigger such an analysis. The primary concern in this scenario is the PE file, which is directly analyzed by WildFire for malicious content.
By focusing on the files that could pose a direct threat to the network, WildFire provides a robust mechanism for identifying and mitigating potential security risks associated with file downloads.

質問 # 144
サイト A とサイト B の間に VPN 接続が設定されていますが、サイト A のシステムログにはトラフィックが渡されておらず、like-nego-p1-fail-psk としてイベントが記録されています。
どのような操作を行うと VPN が起動し、サイト間のトラフィックの通過が可能になりますか?

A. サイト A IKE ゲートウェイプロファイル交換モードをアグレッシブモードに変更します。
B. サイト B の IKE ゲートウェイプロファイルのバージョンをサイト A と一致するように変更します。
C. サイト B の事前共有キーをサイト A の事前共有キーと一致するように変更します。
D. サイト A IKE ゲートウェイプロファイルで NAT トラバーサルを有効にします。

正解：C

質問 # 145
......

あなたを合格させるPCNSE PCNSE日本語試験問題集で2024年12月17日には250問あります：https://www.goshiken.com/Palo-Alto-Networks/PCNSE-JPN-mondaishu.html

関するブログ

もっと

PCNSE-JPN無料問題集