무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 12)

NetSec-Analyst 문제 51

Palo Alto Networks 방화벽은 User-ID로 구성되고 Active Directory와 통합되어 있습니다. 네트워크 팀에서 'Guest Wi-Fi' 네트워크의 사용자가 내부 리소스에 가끔씩 액세스한다고 보고했습니다. 현재 보안 정책은 'Guest_Wi-Fi' 사용자에게 특정 인터넷 사이트만 허용합니다. 조사 결과, Guest Wi-Fi SSID는 회사 네트워크와 다른 서브넷의 IP를 할당하도록 구성되어 있지만, User-ID 매핑에는 캐시된 로그인 또는 세션 공유로 인해 내부 회사 사용자가 일부 Guest Wi-Fi IP에 매핑된 것으로 표시됩니다. User-ID 매핑 여부와 관계없이 'Guest_Wi-Fi' 사용자가 인터넷 액세스를 유지하면서 내부 리소스에 액세스하는 것을 방지하려면 어떻게 해야 할까요?

A. 소스 영역: Guest_Zone, 소스 사용자: any, 대상 영역: Internal_Zone, 작업: deny로 새 보안 정책 규칙을 만듭니다. 이 규칙을 다른 모든 내부 액세스 규칙보다 우선 적용합니다.

B. 'Guest_Wi-Fi' 인터넷 접속에 대한 기존 규칙을 수정하여 대상 영역: 신뢰할 수 없음을 추가하고, Guest_Wi-Fi가 Internal_Zone으로 접속하는 것을 허용하는 규칙이 없도록 합니다. 사용자 ID 캐시를 주기적으로 삭제합니다.

C. 소스 영역: Guest_Zone, 소스 주소: Guest_Wi-Fi_Subnet, 소스 사용자: any, 대상 영역: Internal_Zone, 작업: deny로 새 보안 정책 규칙을 만듭니다. 이 규칙의 우선순위를 가장 높게 지정합니다.

D. Guest_Wi-Fi 서브넷에 대한 사용자 ID 제외 목록을 구성하여 해당 IP에 대한 사용자 ID 매핑을 방지한 다음, Guest_Zone에서 내부 영역으로의 거부 규칙을 만듭니다.

E. Guest_Wi-Fi 서브넷에 대한 명시적 정책 기반 전달(PBF) 규칙을 구현하여 모든 트래픽을 내부 대상에 대한 보안 정책 평가를 우회하여 인터넷으로 직접 라우팅합니다.

NetSec-Analyst 문제 52

한 에너지 유틸리티 회사는 변전소 자동화를 위해 DNP3 및 IEC 61850 프로토콜에 크게 의존하는 배전망 보안을 위해 Palo Alto Networks NGFW를 도입하고 있습니다. 보안팀은 일반적인 산업 프로토콜 취약점으로부터 강력한 보호 기능을 제공하고 프로토콜 적합성을 보장하는 'IoT 보안 프로필'을 적용하고자 합니다. 구체적으로 다음과 같은 사항이 필요합니다.
1. 잘못된 패킷이나 사양을 벗어난 명령을 표시하여 엄격한 DNP3/IEC 61850 프로토콜 준수를 시행합니다.
2. IEC 61850 장치에서 승인되지 않은 '펌웨어 업데이트' 명령을 방지합니다.
3. DNP3 및 IEC 61850을 표적으로 하는 알려진 악용 사례를 탐지하고 차단합니다.
'IoT 보안 프로필'과 관련 정책 내에서 어떤 기능 조합이 이러한 모든 요구 사항을 효과적으로 해결할 수 있을까요? (복수 응답)

A. DNP3 및 IEC 61850의 IoT 보안 프로필 내에서 '프로토콜 이상 감지'를 활용하여 잘못된 패킷과 규정을 준수하지 않는 명령을 감지합니다.

B. IoT 보안 프로필 내에서 IEC 61850에 대한 '애플리케이션 기능 필터링'을 구현하고, 특히 '펌웨어 업데이트' 기능 코드나 이와 동등한 기능을 거부합니다.

C. SCADA/ICS와 관련된 '중요' 및 '높음' 심각도 시그니처에 초점을 맞춘 '취약성 보호' 프로필을 구성하고 DNP3/IEC 61850 트래픽을 제어하는 보안 정책에 적용합니다.

D. 펌웨어 업데이트와 관련된 특정 바이너리 패턴이 네트워크를 통과하지 못하도록 '데이터 필터링' 프로필을 적용합니다.

E. 알려진 악성 업데이트 서버에 대한 액세스를 차단하기 위해 사용자 지정 'URL 필터링' 프로필을 설정합니다.

NetSec-Analyst 문제 53

네트워크 보안 분석가는 '운영' 장치 그룹 계층 구조 내 모든 방화벽에서 공유하고 상속해야 하는 중요 보안 정책인 '악성 트래픽 차단'이 하위 장치 그룹인 '운영 웹 서버'에 실수로 생성되었음을 발견했습니다. 즉, '운영 웹 서버'에 속한 방화벽만 이 정책을 수신하고 다른 운영 방화벽은 수신하지 못합니다. Panorama에서 이 문제를 해결하면서 서비스 중단을 최소화하고 적절한 상속을 보장하기 위한 가장 적절한 조치는 무엇입니까?

A. 'Prod-Web-Servers'에서 정책을 삭제한 다음 'Shared' 폴더에 다시 만들어 전역 상속을 보장합니다.

B. Panorama GUI를 사용하여 'Prod-Web-Servers' 규칙 베이스에서 'Block_Malicious_Traffic' 정책을 상위 'Production' 장치 그룹의 규칙 베이스로 이동합니다. 그런 다음 커밋하고 푸시합니다.

C. 'Prod-Web-servers' 구성을 내보내고, XML을 직접 편집하여 정책을 제거한 후 다시 가져옵니다. 그런 다음 'Production' 장치 그룹에 정책을 수동으로 생성합니다.

D. 'Production' 장치 그룹에서 동일한 규칙을 사용하여 새 보안 정책을 만들고, 상속된 규칙보다 우선순위를 높게 설정한 다음 'Prod-Web-Servers'에서 해당 정책을 비활성화합니다.

E. Panorama에서 CLI 명령을 사용하여 정책을 '이동'합니다.

NetSec-Analyst 문제 54

한 조직이 복잡한 PBF 배포 문제를 해결하고 있습니다. 여러 개의 PBF 규칙이 있는데, 일부는 '애플리케이션'을 일치 기준으로 사용하고 다른 일부는 '서비스'를 사용합니다. '애플리케이션: custom-app-udp-port-5000' 및 '송신 인터페이스: tunnel.1'을 포함하는 PBF 규칙에 따라 처리되어야 할 일부 트래픽이 기본 경로를 따라가는 것을 발견했습니다. 그러나 'custom-app-udp-port-5000'에 대한 보안 정책 규칙은 해당 트래픽을 허용합니다. 방화벽의 패킷 캡처 결과, UDP 트래픽이 기본 인터넷 업링크를 통해 나가는 것으로 나타났습니다. 이 PBF 오작동의 가장 가능성 있는 원인은 무엇입니까?

A. 'Application: custom-app-udp-port-5000'이 포함된 PBF 규칙은 트래픽과 먼저 일치하는 보다 일반적인 PBF 규칙(예: 'Application: any' 또는 'Service: any') 아래에 배치됩니다.

B. 사용자 지정 애플리케이션 'custom-app-udp-port-5000'이 App-ID로 올바르게 식별되지 않아 PBF 규칙에서 해당 애플리케이션과 일치시킬 수 없습니다. 'incomplete' 또는 'unknown-udp'로 식별됩니다.

C. 방화벽이 'custom-app-udp-port-5000' 애플리케이션에 대한 대상 FQDN을 확인하지 못해 PBF 규칙이 건너뛰어졌습니다.

D. UDP 트래픽에 대해 '애플리케이션' 필드에만 의존하는 대신 PBF 규칙의 '서비스' 필드를 명시적으로 'udp/5000'으로 설정해야 합니다.

E. 'Egress Interface: tunnel.1'이 다운되었거나 다음 홉에 도달할 수 없어 PBF 규칙이 명시적인 폴백을 구성하지 않았더라도 암묵적으로 기본 경로로 폴백됩니다.

정답: B

이 시나리오는 App-ID 문제를 직접적으로 나타냅니다. '애플리케이션'과 일치하는 PBF 규칙은 방화벽이 App-ID를 사용하여 애플리케이션을 식별하는 기능에 전적으로 의존합니다. 'custom-app-udp-port-5000'이 올바르게 식별되지 않는 경우(예: 트래픽 패턴이 시그니처와 일치하지 않거나 학습되지 않은 새 트래픽인 경우), App-ID는 해당 트래픽을 '미완료' 또는 '알 수 없는 UDP'로 분류할 수 있습니다. 애플리케이션을 식별할 수 없는 경우, 해당 App-ID에 의존하는 PBF 규칙은 일치하지 않으며, 트래픽은 후속 PBF 규칙 또는 궁극적으로 VR의 라우팅 테이블(기본 경로로 이어짐)에 의해 평가됩니다. 보안 정책 규칙에서 이를 허용한다고 해서 App-ID가 PBF에서 정상적으로 작동한다는 것을 의미하지는 않습니다. 보안 정책은 기본적으로 App-ID에 의존하지 않고 포트 기반인 '서비스'를 사용할 수도 있습니다. 옵션 A: 규칙 순서는 중요하지만, 트래픽이 기본 경로로 지속적으로 이동한다면 특정 규칙이 전혀 일치하지 않는 것일 뿐, 다른 PBF 규칙에 의해 선점된 것은 아닙니다. 옵션 C: FQDN 확인 문제로 인해 PBF 규칙이 대상과 일치하지 않을 수 있지만, 이는 대상의 FQDN이 아니라 애플리케이션 자체에 문제가 있음을 시사합니다. 옵션 D: PBF 규칙은 '애플리케이션'에 대해서만 일치할 수 있습니다. '서비스' 필드는 App-ID에 의존하지 않거나 특정 App-ID가 없는 서비스를 위한 포트/프로토콜 일치를 위한 것입니다. '애플리케이션'을 사용하는 경우 App-ID가 가장 중요합니다. 옵션 E: 이그레스 인터페이스 또는 다음 홉이 다운되고 명시적인 폴백이 구성되지 않은 경우, PBF 규칙은 일반적으로 트래픽 삭제(트래픽 삭제) 또는 다음 PBF 규칙(있는 경우)으로 폴스루되며, 특정 구성 없이 기본 경로로 암묵적으로 폴백되는 것은 아닙니다.

NetSec-Analyst 문제 55

한 대기업이 다양한 지역에 분산된 500개 이상의 차세대 방화벽(NGFW)을 중앙에서 관리하기 위해 Palo Alto Networks Panorama를 사용하고 있습니다. 사고 대응팀은 빠르게 확산되는 새롭고 고도로 탐지 가능한 악성코드 변종을 발견했습니다. 모든 방화벽에서 30분 이내에 이 위협을 차단하기 위해 중요한 보안 정책 업데이트를 배포해야 합니다. 다음 Panorama 기능 및 자동화 기능 중 인적 오류를 최소화하면서 이러한 목표를 달성하는 데 가장 효과적인 것은 무엇입니까?

A. 수동 구성은 각 그룹에 새로운 보안 규칙을 만든 후 개별 장치 그룹에 적용됩니다.

B. 위협 인텔리전스 플랫폼의 외부 API 피드를 통해 업데이트된 동적 주소 그룹(DAG)을 활용하는 사전 정의된 보안 정책 규칙을 활용한 다음, 관련 장치 그룹에 즉시 커밋하고 푸시합니다.

C. 새로운 보안 프로필 그룹을 만들고 기존 보안 규칙에 연결한 다음, 다음 유지 관리 창에서 예약된 커밋과 푸시를 수행합니다.

D. 각 장치에서 SSH를 통해 방화벽 구성을 직접 수정한 다음 Panorama에서 변경 사항을 수동으로 푸시합니다.

E. 모든 트래픽을 검사하기 위해 모든 방화벽에 새로운 복호화 정책을 구현하여 맬웨어를 본질적으로 차단합니다.