무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 7)

NetSec-Analyst 문제 26

Palo Alto Networks 방화벽은 HTTP(S) 프로토콜을 사용하여 'LFP Cloud SIEM'이라는 로그 전달 프로필을 통해 AWS S3 버킷으로 로그를 전달하도록 구성되어 있습니다. IAM 역할과 버킷 정책이 올바른 것으로 보이지만, 현재 간헐적인 'HTTP 403 Forbidden' 오류로 인해 전달이 실패하고 있습니다. 방화벽 로그에는 'HTTP 서버로 로그를 전송하지 못했습니다. 인증에 실패했습니다'라는 메시지가 표시됩니다. 네트워크 연결 문제나 시간 동기화 문제가 없다고 가정할 때, 다음 중 가장 가능성이 높은 원인은 무엇입니까?

A. 방화벽의 시계가 AWS 서비스와 크게 동기화되지 않아 유효한 자격 증명이 있는 경우에도 서명된 HTTP 요청에 대한 서명 검증이 실패합니다.

B. 로그 형식 프로필이 AWS S3 인증에 잘못된 '액세스 키 ID' 또는 '비밀 액세스 키'를 사용하도록 구성되었습니다.

C. AWS S3 버킷 정책이 특정 IP 주소에서만 업로드를 허용하도록 잘못 구성되었으며 방화벽의 출구 IP가 포함되지 않았습니다.

D. 로그 형식 프로필과 연결된 HTTP(S) 서버 프로필이 S3 버킷 엔드포인트에 대해 잘못된 '호스트' 또는 '경로'를 지정합니다.

E. 방화벽에서 사용하는 AWS 사용자/역할에 할당된 IAM 역할에 대상 S3 버킷에 대한 's3:PutObject' 권한이 없거나, IAM 정책의 조건이 해당 작업을 거부하는 조건을 충족하고 있습니다.

NetSec-Analyst 문제 27

보안 설계자가 Palo Alto Networks Panorama와 외부 SOAR(Security Orchestration, Automation, and Response) 플랫폼을 사용하여 고도로 자동화된 사고 대응 워크플로를 설계하고 있습니다. 이 워크플로는 손상된 엔드포인트의 IP 주소를 Panorama의 '격리' 동적 주소 그룹(DAG)에 추가하여 동적으로 격리해야 합니다. 그러면 DAG는 차단 정책을 실행합니다. 다음 코드 조각(또는 API 호출) 중 SOAR 플랫폼이 Panorama의 XML API를 통해 기존 DAG에 IP 주소를 추가하는 가장 정확하고 효율적인 방법을 보여주는 것은 무엇입니까?

A.

B.

C.
{<디>}:

D.

정답: D

Palo Alto Networks에서 동적 주소 그룹(DAG)에 IP 주소를 추가하려면 일반적으로 특정 '태그'가 있는 '주소 개체'를 만들고 DAG는 해당 '태그'와 일치하도록 구성됩니다. SOAR 플랫폼에서 가장 효율적인 방법은 새 주소 개체(종종 IP에 대한 고유한 이름이 있음)를 만들고 DAG가 수신 대기하는 올바른 태그를 적용하는 것입니다. 그런 다음 '커밋'을 수행하여 변경 사항을 활성화합니다. 옵션을 분석해 보겠습니다. A: 이는 '주소 그룹'에 정적 멤버를 추가하려고 시도합니다. DAG는 그룹 정의에 직접 추가된 정적 멤버로 채워지지 않습니다. 주소 개체의 일치하는 태그로 채워집니다. B: 이는 'Quarantine'이라는 '주소 그룹'에 직접 '태그'를 설정하려고 시도합니다. 이는 DAG가 동적으로 채워지는 방식이 아닙니다. 주소 그룹 정의 내의 '태그' 요소는 IP 자체가 아니라 동적 채우기의 기준을 지정합니다. C: 이는 주소 개체나 그룹과 전혀 관련이 없는 로그 전달 프로필을 위한 것입니다. D: 이는 주소 그룹의 '태그' 요소 바로 아래에 멤버를 추가하려는 시도로, DAG가 사용하는 태그가 있는 주소 객체를 만드는 데 구조적으로 올바르지 않습니다.E: 이는 올바르고 가장 세부적인 접근 방식입니다.먼저 특정 IP('10.1.1.10/32')를 사용하여 '주소' 객체(예: 'quarantined-ip-10.1.1.I(Y)')를 만들고, 중요하게도 '태그'(예: 'QuarantineTag')를 할당합니다.기존 동적 주소 그룹 'Quarantine'은 'QuarantineTag'로 태그가 지정된 모든 주소를 포함하도록 구성됩니다.이렇게 하면 IP가 DAG에 자동으로 추가됩니다.그 후의 'commit' 명령은 변경 사항을 방화벽에 푸시하여 새 주소 객체와 해당 태그를 DAG에 표시하고 차단 정책을 활성화합니다.이는 API를 통해 DAG와 상호 작용하는 표준적인 프로그래밍 방식입니다.

NetSec-Analyst 문제 28

대기업에서 새로운 BYOD 정책을 구현하고 있으며, 위협 검사를 위해 모든 사용자 트래픽에 대해 SSL 포워드 프록시 복호화를 수행해야 합니다. BYOD 기기(Windows, macOS, Android, iOS)의 다양한 특성으로 인해 IT 팀은 방화벽의 포워드 트러스트 인증서 배포 후 사용자 엔드포인트의 인증서 신뢰 문제에 대해 우려하고 있습니다. 다음 중 이처럼 다양한 BYOD 환경에서 방화벽의 포워드 트러스트 인증서를 배포하고 신뢰하는 과제를 가장 잘 해결하는 전략은 무엇일까요?

A. 확장 가능하고 신뢰를 보장하는 각 BYOD 장치에 수동으로 전방 신뢰 인증서를 설치합니다.

B. SSL 포워드 프록시에 공개적으로 신뢰할 수 있는 CA 인증서를 사용하도록 방화벽을 구성하여 엔드포인트 신뢰가 필요 없게 합니다.

C. 모바일 장치 관리(MDM) 솔루션을 활용하여 신뢰할 수 있는 루트 CA로서 Forward Trust Certificate를 관리되는 BYOD 장치에 푸시하고, 관리되지 않는 장치에 대한 명확한 사용자 지침을 결합합니다.

D. BYOD 사용자를 위한 Captive Portal 인증을 구현하여 로그인에 성공하면 인증서가 자동으로 설치됩니다.

E. 인증서 문제를 피하기 위해 모든 BYOD 트래픽을 SSL 복호화에서 제외하고 네트워크 수준 보호에만 의존합니다.

NetSec-Analyst 문제 29

보안 분석가는 암호화된 채널을 통한 중요 데이터 유출을 방지하기 위해 Palo Alto Networks 방화벽에서 복호화 정책을 구성하고 있습니다. 자체 서명 인증서를 사용하는 내부 애플리케이션이 TLS를 통해 외부 클라우드 서비스와 통신해야 하는 상황에 직면했습니다. 기존의 'SSL 포워드 프록시' 프로필을 사용하여 이 트래픽을 복호화하면 애플리케이션 장애가 발생합니다. 중요 데이터 보호를 유지하면서 애플리케이션 중단 없이 이 트래픽을 검사하는 데 가장 적합한 복호화 모드와 관련 구성은 무엇일까요?

A. 특정 애플리케이션 트래픽에 대한 '복호화 없음' 작업이 포함된 SSL 포워드 프록시입니다.

B. 내부 애플리케이션의 자체 서명 인증서에 대한 사용자 정의 인증서 프로필을 사용한 SSL 인바운드 검사.

C. 'SSL 프로토콜 설정'이 '신뢰할 수 없는 인증서가 있는 세션 차단'으로 구성된 SSL 포워드 프록시.

D. 클라우드 서비스에 대한 URL 범주를 기반으로 한 SSL 복호화 제외.

E. '포워드 프록시' 복호화 프로필과 사용자 지정 '복호화 정책' 규칙을 사용하여 이 특정 트래픽을 복호화하는 SSL 복호화 없음.

NetSec-Analyst 문제 30

여러 지역 허브와 스포크를 관리하는 Panorama를 사용하는 고급 SD-WAN 구축을 고려해 보겠습니다. 이 설계에서는 스포크에서 발생하는 특정 대용량 데이터 복제 트래픽(App-Rep)이 가능한 경우 항상 지역 허브의 기본 MPLS 경로를 사용해야 합니다. 그러나 MPLS 경로에 성능 저하(경미한 저하라도)가 발생하면 트래픽은 즉시 인터넷을 통해 전용 고대역폭 IPsec 터널로 전환되어야 하며, MPLS 경로가 완전히 복구되고 안정될 때까지 장시간(예: 5분) IPsec 터널에 머물러야 합니다. 이는 플랩핑(flapping) 현상을 방지하기 위한 것입니다. 다른 모든 트래픽은 표준 '최상 품질' 경로 선택을 사용해야 합니다. App-Rep의 '스티키 페일오버(sticky failover)'를 구현하는 데 필수적인 SD-WAN 기능과 그 구성은 무엇입니까?

A. App-Rep의 경우, '성능 기반' 경로 선택이 포함된 SD-WAN 정책 규칙을 생성합니다. 이 규칙을 MPLS에 대한 엄격한 SLA 임계값을 정의하는 '경로 품질' 프로필과 연결합니다. 특히, SD-WAN 프로필 또는 특정 규칙 내의 '장애 복구 타이머'를 300초(5분)와 같은 값으로 설정하여 고착성을 확보하는 것이 중요합니다.

B. App-Rep의 경우, '활성/백업' 경로 선택이 포함된 SD-WAN 정책 규칙을 사용하고 MPLS 링크를 '활성'으로, IPsec 터널을 '백업'으로 설정하십시오. 플래핑을 방지하려면 이 특정 규칙에 대해 '자동 장애 복구'를 비활성화하고, 안정적인 환경에서 수동 개입이나 별도의 스크립트를 사용하여 MPLS를 다시 활성화하십시오.

C. '성능 기반' 경로 선택과 '경로 품질' 프로필을 사용하여 App-Rep에 대한 SD-WAN 정책 규칙을 구현합니다. MPLS 링크에 대한 '경로 모니터링' 프로필을 구성하여 적극적인 프로브와 더 높은 '연속 장애' 임계값을 설정하여 성능 저하를 신속하게 감지하고, '복구 대기 시간'을 설정하여 고착성을 방지합니다.

D. App-Rep의 경우, '최상 품질' 경로 선택으로 SD-WAN 정책 규칙을 정의합니다. MPLS의 관련 '경로 품질' 프로필에서 매우 엄격한 '양호' 임계값을 설정합니다. 고착성을 강제하려면 '애플리케이션 재정의' 정책을 사용하여 초기 장애 조치 후 App-Rep을 IPsec 터널로 강제 연결하고, MPLS가 안정되면 수동으로 제거합니다.

E. App-Rep에 대한 SD-WAN 정책 규칙은 '성능 기반' 경로 선택을 사용해야 합니다. 핵심은 MPLS 링크에 대한 '경로 품질' 프로필을 정확한 '양호' 및 '불량' 임계값으로 정의하는 것입니다. SD-WAN 프로필의 '고급 설정'에 있는 '장애 복구 타이머'(또는 '복귀 타이머')는 MPLS 링크의 고착성을 제어하여 MPLS가 장기간 안정된 후에만 다시 활성화되도록 하는 메커니즘입니다.