무료 온라인 액세스 PaloAltoNetworks.NetSec-Analyst.v2025-12-29.q90 모의 시험 (Page 8)

NetSec-Analyst 문제 31

조직에서 잠재적 피싱 사이트로 식별된 새로 등록된 도메인(NRD)에 대한 액세스를 동적으로 차단하려는 상황을 생각해 보겠습니다. 이 조직은 NRD 목록을 매일 업데이트하여 제공하는 신뢰할 수 있는 위협 인텔리전스 서비스에 가입되어 있습니다. Palo Alto Networks 방화벽에서 외부 동적 목록을 사용하여 이 보안 조치를 성공적으로 구현하는 데 필수적인 구성은 다음 중 무엇입니까?

A. 'URL' 유형의 EDL을 생성하고 이 EDL에 대한 액세스를 차단하기 위해 URL 필터링 프로필을 구성합니다.

B. '도메인' 유형의 EDL을 만들고 웹 브라우징에 대한 '거부' 작업이 포함된 보안 정책 규칙에서 이를 참조합니다.

C. 'IP 주소(IPv4/IPv6)' 유형의 EDL을 생성하고 DoS 보호 정책에 연결합니다.

D. 모든 NRD 트래픽을 검사하기 위해 WildFire 분석 프로필을 구성합니다.

E. NRD 쿼리를 블랙홀 서버로 리디렉션하기 위한 DNS 싱크홀 구현.

NetSec-Analyst 문제 32

한 조직에서 차세대 방화벽과 GlobalProtect를 관리하기 위해 Palo Alto Networks Panorama를 활용하고 있습니다. 이 조직은 타사 엔드포인트 탐지 및 대응(EDR) 솔루션에서 보고하는 디바이스 상태(예: 패치 수준, 바이러스 백신 상태)를 기반으로 원격 사용자에 대한 동적 액세스 제어를 구현해야 합니다. 이 상태 정보는 GlobalProtect 보안 정책에서 활용되어야 합니다. 다음 중 Panorama와 통합 기능을 가장 효과적으로 활용하여 이를 달성하는 방법은 무엇이며, EDR 데이터가 정책에 어떤 영향을 미칠 수 있는지에 대한 예시는 무엇입니까?

A. EDR 솔루션을 구성하여 장치 상태를 CSV 파일로 내보내세요. 이 CSV 파일을 Panorama에 정기적으로 수동으로 업로드하여 GlobalProtect 정책에 사용되는 사용자 지정 주소 객체를 업데이트하세요.

B. EDR 솔루션을 Palo Alto Networks의 '사용자 ID' 기능과 통합하여 IP 주소를 EDR에서 제공하는 속성에 매핑합니다. 그러면 GlobalProtect 보안 정책이 '사용자 ID' 그룹 매핑을 활용하여 동적 액세스 제어를 수행합니다. 예를 들어, '(사용자 ID는 'quarantined_group'이고, 애플리케이션은 'any'입니다.) 그리고 (작업은 'deny'입니다.)'와 같이 작성할 수 있습니다.

C. EDR 솔루션은 SIEM에 시스템 로그 메시지를 전송합니다. SIEM은 Panorama에 API 호출을 전송하여 장치 상태 태그를 기반으로 '동적 주소 그룹'을 생성하거나 수정합니다. GlobalProtect 정책은 이러한 DAG를 참조합니다. DAG 필터의 예로는 '(tag eq 'compliance-failed')'가 있으며, 이는 보안 정책에서 '(source-user is 'any') AND (source is 'DAG_Compliance_FaiIed') THEN (action is 'block'V)'과 같이 사용됩니다.

D. Panorama에 예약된 작업을 설정하여 매시간 EDR API에서 기기 상태 정보를 직접 가져옵니다. 이 정보는 사용자 지정 변수로 저장되며, 이후 GlobalProtect 보안 정책에서 참조됩니다. 예를 들어 '_edr_posture_status_'와 같은 변수가 있습니다.

E. 인증 중에 각 사용자의 자세에 대한 EDR 솔루션을 쿼리하도록 GlobalProtect 게이트웨이를 직접 구성한 다음 EDR 응답에 따라 보안 프로필을 적용합니다.

정답: B,C

B와 C는 모두 매우 효과적이고 일반적으로 사용되는 방법이므로 이 질문은 여러 정답이 있는 질문입니다.옵션 B(사용자 ID 통합): 이는 매우 일반적이고 강력한 통합 지점입니다.많은 EDR 솔루션(또는 해당 오케스트레이션 플랫폼)은 Palo Alto Networks 사용자 ID와 통합할 수 있습니다(API 또는 전용 커넥터를 통해).이들은 사용자-IP 매핑과 관련 속성(예: '격리됨', '준수', '취약함'과 같은 상태를 나타내는 보안 그룹 또는 태그)을 푸시합니다.Panorama의 사용자 ID 에이전트 또는 직접 API 호출은 이를 수집합니다.GlobalProtect 보안 정책은 이러한 사용자 ID 그룹 또는 속성을 일치 기준에 직접 활용하여 세부적인 제어를 허용합니다.예시 '(사용자 ID는 '격리됨_그룹') AND (애플리케이션은 '모든') THEN (작업은 '거부')'는 이를 완벽하게 보여주며, 여기서 '격리됨_그룹'은 EDR에서 동기화된 속성입니다.옵션 C(동적 주소 그룹 - DAG): 이 접근 방식도 매우 유연합니다. EDR 또는 중간 SOAR/SIEM은 Panorama의 API를 사용하여 장치 포스처에 따라 특정 '태그'가 있는 '주소' 객체를 생성하거나 수정할 수 있습니다. 그런 다음 Panorama에서 동적 주소 그룹(DAG)을 구성하여 해당 특정 '태그'가 있는 모든 IP 주소를 포함합니다. GlobalProtect 보안 정책은 이 DAG를 참조할 수 있습니다. '(source-user is 'any') AND (source is 'DAG_Compliance_Failed') THEN (action is 'block')' 예는 완벽한 설명입니다. EDR이 API를 통해 엔드포인트의 IP에 'compliance-failed' 태그를 지정하면 즉시 의 일부가 되고 차단 정책이 적용됩니다. 두 방법 모두 실시간(또는 거의 실시간) 장치 포스처에 기반한 동적이고 자동화된 정책 시행을 허용하며, 이는 고급 보안 포스처 관리에 중요합니다. 옵션 A: 수동 CSV 업로드는 동적이거나 확장 가능하지 않습니다. 옵션 D: 기술적으로는 가능하지만, 이 특정 사용 사례(정책 매칭을 위한 동적 소스 IP)에 사용자 지정 변수를 사용하는 것은 이러한 목적으로 설계된 User-ID 또는 DAG보다 덜 일반적이며 안정성도 떨어지는 경우가 많습니다. 옵션 E: 게이트웨이의 직접 쿼리는 EDR 포스처를 Palo Alto Networks 보안 정책과 통합하는 표준적이거나 확장 가능한 방법이 아닙니다. 중앙 집중식 인텔리전스 및 정책 시행은 Panorama와 User-ID 및 DAG와 같은 통합 기능을 통해 제공됩니다.

NetSec-Analyst 문제 33

사내에서 개발한 내부 메시징 애플리케이션 'SecureChat'은 TCP/4444에서 맞춤형 TLS 구현을 사용합니다. App-Ld는 이를 'ssl-generic' 또는 'unknown-tcp'로 식별합니다. 보안팀은 이 애플리케이션을 'secure-chat'(맞춤형 애플리케이션)으로 분류하여 특정 복호화 프로필과 고급 위협 방지(ATP)를 적용하려고 합니다. 보안팀은 이 애플리케이션이 항상 특정 소스 네트워크 블록(10.10.10.0/24)에서 시작되어 백엔드 서버 팜(172.16.1.0/24)에 연결된다는 것을 확인했습니다. 'SecureChat'에 대한 애플리케이션 재정의의 구현 및 영향에 대한 다음 설명 중 참인 것은 무엇입니까?

A. 10.10.10.0/24에서 172.16.1.0/24까지 TCP/4444의 'SecureChat'에 대한 애플리케이션 재정의로 인해 방화벽은 App-ID 서명이 평가되기 전에 이 트래픽을 'secure-chat'으로 식별합니다.

B. 애플리케이션 재정의를 적용한 후 보안 정책은 App-ID의 초기 추측과 관계없이 'secure-chat'을 명시적으로 허용하고 전용 복호화 프로필과 위협 방지를 적용할 수 있습니다.

C. 'SecureChat' 애플리케이션이 나중에 포트를 TCP/8888로 변경하면 기존 애플리케이션 재정의가 자동으로 적응하여 트래픽을 계속해서 올바르게 식별합니다.

D. 애플리케이션 재정의를 생성하면 트래픽이 암묵적으로 허용되고 보안되므로 후속 보안 정책이 필요 없게 됩니다.

E. 애플리케이션 재정의 규칙은 다른 모든 앱 ID 규칙이 먼저 고려되도록 애플리케이션 재정의 정책 목록의 맨 아래에 배치해야 합니다.

NetSec-Analyst 문제 34

한 조직에서 주로 성능 향상을 위해 QUIC(Quick UDP Internet Connections) 프로토콜을 통해 실행되는 새로운 맞춤형 애플리케이션을 배포하고 있습니다. 방화벽 팀은 이 애플리케이션이 SSL 복호화를 포함한 콘텐츠 검사 요구 사항을 준수하는 동시에 허용되도록 보안 정책을 수립해야 합니다. 현재 방화벽의 기본 설정은 알 수 없는 UDP 트래픽을 차단합니다. Palo Alto Networks 방화벽이 이 QUIC 애플리케이션을 성공적으로 식별, 복호화하고 콘텐츠 ID를 적용하려면 어떤 구성 단계가 필요합니까?

A. UDP 포트를 지정하여 QUIC 트래픽에 대한 사용자 지정 애플리케이션을 생성합니다. 이 사용자 지정 애플리케이션을 허용하는 보안 정책 규칙을 생성합니다. 이 트래픽에 대한 SSL 복호화 정책을 구성합니다. 관련 Content-ID 프로필을 적용합니다.

B. QUIC는 UDP 기반이므로 SSL 복호화가 적용되지 않습니다. UDP 포트를 지정하여 QUIC 트래픽에 대한 사용자 지정 애플리케이션을 생성하세요. 이 사용자 지정 애플리케이션을 허용하는 보안 정책 규칙을 생성하세요. SSL 복호화 없이 관련 Content-ID 프로필을 적용하세요.

C. QUIC 트래픽은 TCP를 통한 기존 SSL/TLS와는 다른 핸드셰이킹 메커니즘을 사용하므로 방화벽의 표준 SSL 프록시에서 SSL을 직접 복호화하는 것이 어렵습니다. 가장 좋은 방법은 QUIC 트래픽에 애플리케이션 오버라이드를 사용하여 해당 트래픽을 식별한 다음, SSL 복호화를 우회하지만 다른 위협 방지 측면에 중점을 두는 특정 콘텐츠 ID 프로필을 적용하는 것입니다. 이 트래픽을 허용하는 보안 정책 규칙도 필요합니다.

D. QUIC 트래픽은 본질적으로 전송 계층에서 암호화를 직접 통합합니다. 사용자 지정 App-ID(서명 또는 애플리케이션 재정의에서 지원하는 경우)로 식별할 수 있지만, TCP 기반 SSL/TLS용으로 설계된 표준 SSL 복호화 프로필은 QUIC에서 직접 작동하지 않습니다. 적절한 Content-ID 프로필(바이러스 백신, 스파이웨어 백신, WildFire)을 사용하여 사용자 지정 App-ID(또는 방화벽에서 인식하는 경우 'quic' App-ID)를 허용하는 보안 정책 규칙이 필요하지만, 명시적 SSL 복호화는 일반적으로 TCP와 같은 방식으로 적용되지 않습니다.

E. PAN-OS를 QUIC 복호화를 기본적으로 지원하는 최신 버전으로 업그레이드하세요. 그런 다음 'quic' 애플리케이션을 허용하는 보안 정책 규칙을 생성하고 Content-ID 프로필과 함께 SSL 복호화 프로필을 적용하세요. 애플리케이션이 사용자 지정 애플리케이션인 경우 사용자 지정 앱 ID가 여전히 필요할 수 있습니다.

NetSec-Analyst 문제 35

GlobalProtect VPN으로 구성된 Palo Alto Networks 방화벽에서 원격 사용자가 VPN 연결을 설정할 수 있지만 내부 네트워크 리소스에 액세스할 수 없는 문제가 발생했습니다. 문제 해결 단계를 통해 클라이언트 측 라우팅이 올바르고 VPN 터널이 설정되었음을 확인할 수 있습니다. GlobalProtect 게이트웨이 보안 정책 로그에는 '거부' 작업과 함께 '애플리케이션: 불완전' 및 '서비스: 알 수 없음-tcp'가 표시됩니다. 이 문제의 원인으로 추정되는 가장 큰 요인은 무엇입니까?

A. GlobalProtect 보안 정책에 대한 소스 NAT 구성이 잘못되었고 VPN 터널 인터페이스에 대한 보안 영역이 누락되었습니다.

B. GlobalProtect 터널 영역에서 내부 영역으로의 트래픽을 허용하는 보안 정책 규칙이 누락되었거나 올바르지 않으며, 처음에 적절한 App-ID 분류를 방해하는 '서비스: application-default' 설정과 결합되었습니다.

C. GlobalProtect 게이트웨이는 SSL VPN으로 구성되었지만 클라이언트가 IPsec을 통해 연결을 시도하여 프로토콜 불일치 및 암호 해독 실패가 발생했습니다.

D. GlobalProtect 클라이언트와 게이트웨이 간의 인증서 유효성 검사에 실패하여 초기 핸드셰이크 이후 세션을 설정할 수 없습니다.

E. GlobalProtect의 '터널 인터페이스'가 내부 네트워크로의 경로가 없는 가상 라우터에 잘못 할당되었습니다.