XDR-Engineer 문제 1
콜드 스토리지에서 쿼리된 후 데이터는 임시 핫 스토리지 캐시에 얼마 동안 보관됩니까?
정답: B
Cortex XDR에서 데이터는 핫 스토리지(최근 자주 액세스되는 데이터), 콜드 스토리지(오래되고 덜 자주 액세스되는 데이터), 그리고 쿼리 중 콜드 스토리지에서 검색된 데이터를 위한 임시 핫 스토리지 캐시라는 여러 계층에 저장됩니다. 콜드 스토리지에서 데이터를 쿼리하면 후속 쿼리에 더 빠르게 액세스할 수 있도록 임시 핫 스토리지 캐시로 이동합니다. 이 질문은 데이터가 캐시에 얼마나 오래 보관되는지, 그리고 재쿼리 시 최대 몇 시간 동안 보관되는지를 묻습니다.
* 정답 분석 (B): 콜드 스토리지에서 검색된 데이터는 임시 핫 스토리지 캐시에 24시간 동안 보관됩니다. 이 기간 내에 데이터를 다시 쿼리하면 캐시에서 계속 액세스할 수 있습니다. 최대 재쿼리 기간은 7일이며, 그 이후에는 콜드 스토리지에서 데이터를 다시 검색해야 할 수 있으며, 이로 인해 추가 처리 시간이 발생할 수 있습니다.
* 다른 옵션은 왜 안 되나요?
* A. 1시간, 최대 12시간으로 재쿼리됨: 이러한 기간은 너무 짧으며 핫 스토리지 캐시에 대한 Cortex XDR의 데이터 보존 정책과 맞지 않습니다.
* C. 24시간, 최대 14일로 재쿼리: 초기 캐시 기간인 24시간은 정확하지만, 재쿼리에 대한 최대 기간인 14일은 너무 길어 Cortex XDR 설명서에서 지원하지 않습니다.
* D. 1시간, 최대 24시간으로 재쿼리: Cortex XDR은 쿼리된 데이터를 24시간 동안 보관하므로 초기 캐시 기간인 1시간은 올바르지 않습니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 데이터 저장에 대해 다음과 같이 설명합니다. "콜드 스토리지에서 쿼리된 데이터는 핫 스토리지에 24시간 동안 캐시되며, 최대 재쿼리 기간은 7일입니다." (데이터 관리 섹션에서 발췌) EDU-262: Cortex XDR 조사 및 대응 과정에서는 데이터 보존에 대해 설명하며, "쿼리된 콜드 스토리지 데이터는 핫 캐시에 24시간 동안 저장되며, 재쿼리를 통해 최대 7일 동안 액세스할 수 있습니다." (과정 자료에서 발췌) Palo Alto Networks Certified XDR Engineer 데이터시트에서는 데이터 스토리지 관리를 포함한 "유지 관리 및 문제 해결"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 조사 및 대응 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
* 정답 분석 (B): 콜드 스토리지에서 검색된 데이터는 임시 핫 스토리지 캐시에 24시간 동안 보관됩니다. 이 기간 내에 데이터를 다시 쿼리하면 캐시에서 계속 액세스할 수 있습니다. 최대 재쿼리 기간은 7일이며, 그 이후에는 콜드 스토리지에서 데이터를 다시 검색해야 할 수 있으며, 이로 인해 추가 처리 시간이 발생할 수 있습니다.
* 다른 옵션은 왜 안 되나요?
* A. 1시간, 최대 12시간으로 재쿼리됨: 이러한 기간은 너무 짧으며 핫 스토리지 캐시에 대한 Cortex XDR의 데이터 보존 정책과 맞지 않습니다.
* C. 24시간, 최대 14일로 재쿼리: 초기 캐시 기간인 24시간은 정확하지만, 재쿼리에 대한 최대 기간인 14일은 너무 길어 Cortex XDR 설명서에서 지원하지 않습니다.
* D. 1시간, 최대 24시간으로 재쿼리: Cortex XDR은 쿼리된 데이터를 24시간 동안 보관하므로 초기 캐시 기간인 1시간은 올바르지 않습니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 데이터 저장에 대해 다음과 같이 설명합니다. "콜드 스토리지에서 쿼리된 데이터는 핫 스토리지에 24시간 동안 캐시되며, 최대 재쿼리 기간은 7일입니다." (데이터 관리 섹션에서 발췌) EDU-262: Cortex XDR 조사 및 대응 과정에서는 데이터 보존에 대해 설명하며, "쿼리된 콜드 스토리지 데이터는 핫 캐시에 24시간 동안 저장되며, 재쿼리를 통해 최대 7일 동안 액세스할 수 있습니다." (과정 자료에서 발췌) Palo Alto Networks Certified XDR Engineer 데이터시트에서는 데이터 스토리지 관리를 포함한 "유지 관리 및 문제 해결"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 조사 및 대응 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
XDR-Engineer 문제 2
API를 통해 매주 실행되는 쿼리가 생성됩니다. 테스트 및 준비가 완료되면 쿼리 센터에서 검토됩니다. 쿼리 실행 시 사용될 컴퓨팅 단위 수를 결정하기 위해 어떤 열을 확인해야 합니까?
정답: B
Cortex XDR의 쿼리 센터를 통해 관리자는 API를 통해 실행되도록 예약된 쿼리를 포함하여 XQL(XDR 쿼리 언어) 쿼리를 관리하고 검토할 수 있습니다. 각 쿼리는 쿼리 실행에 필요한 컴퓨팅 리소스의 척도인 컴퓨팅 단위를 사용합니다. 쿼리가 사용할 컴퓨팅 단위 수를 결정하기 위해 쿼리 센터의 컴퓨팅 단위 사용량 열은 쿼리 실행 기록 또는 구성을 기반으로 실제 또는 예상 리소스 사용량을 제공합니다.
* 정답 분석(B): 쿼리 센터의 컴퓨팅 단위 사용량 열은 쿼리 실행 시 사용된 컴퓨팅 단위 수를 표시합니다. 테스트 및 준비된 쿼리의 경우, 이 열은 리소스 사용량에 대한 가장 정확한 정보를 제공하여 관리자가 API 기반 실행을 계획하는 데 도움을 줍니다.
* 다른 옵션은 왜 안 되나요?
* A. 쿼리 상태: 쿼리 상태 열은 쿼리가 성공적으로 실행되었는지, 실패했는지 또는 보류 중인지를 나타내지만, 컴퓨팅 단위 소비에 대한 정보는 제공하지 않습니다.
* C. 시뮬레이션된 컴퓨팅 단위: 일부 시스템은 시뮬레이션된 추정치를 제공할 수 있지만, Cortex XDR의 쿼리 센터에는 "시뮬레이션된 컴퓨팅 단위" 열이 없습니다. 실제 사용량은 컴퓨팅 단위 사용량에서 추적됩니다.
* D. 컴퓨팅 유닛 할당량: 컴퓨팅 유닛 할당량은 개별 쿼리의 구체적인 사용량이 아닌 테넌트에서 사용 가능한 총 컴퓨팅 유닛을 나타냅니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 쿼리 센터 기능에 대해 다음과 같이 설명합니다. "쿼리 센터의 컴퓨팅 유닛 사용량 열은 쿼리에서 사용된 컴퓨팅 유닛을 표시하여 관리자가 예약된 쿼리 또는 API 기반 쿼리의 리소스 사용량을 평가할 수 있도록 합니다." (쿼리 센터 섹션에서 발췌) TheEDU-
262: Cortex XDR 조사 및 대응 과정에서는 쿼리 관리를 다루며, "컴퓨트 유닛 사용량은 쿼리 센터에서 각 쿼리가 사용하는 리소스에 대한 세부 정보를 제공합니다"(과정 자료에서 발췌)라고 명시되어 있습니다. Palo Alto Networks Certified XDR Engineer 데이터시트에는 쿼리 리소스 관리를 포함한 "유지 관리 및 문제 해결"이 핵심 시험 주제로 포함되어 있습니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 조사 및 대응 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
* 정답 분석(B): 쿼리 센터의 컴퓨팅 단위 사용량 열은 쿼리 실행 시 사용된 컴퓨팅 단위 수를 표시합니다. 테스트 및 준비된 쿼리의 경우, 이 열은 리소스 사용량에 대한 가장 정확한 정보를 제공하여 관리자가 API 기반 실행을 계획하는 데 도움을 줍니다.
* 다른 옵션은 왜 안 되나요?
* A. 쿼리 상태: 쿼리 상태 열은 쿼리가 성공적으로 실행되었는지, 실패했는지 또는 보류 중인지를 나타내지만, 컴퓨팅 단위 소비에 대한 정보는 제공하지 않습니다.
* C. 시뮬레이션된 컴퓨팅 단위: 일부 시스템은 시뮬레이션된 추정치를 제공할 수 있지만, Cortex XDR의 쿼리 센터에는 "시뮬레이션된 컴퓨팅 단위" 열이 없습니다. 실제 사용량은 컴퓨팅 단위 사용량에서 추적됩니다.
* D. 컴퓨팅 유닛 할당량: 컴퓨팅 유닛 할당량은 개별 쿼리의 구체적인 사용량이 아닌 테넌트에서 사용 가능한 총 컴퓨팅 유닛을 나타냅니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 쿼리 센터 기능에 대해 다음과 같이 설명합니다. "쿼리 센터의 컴퓨팅 유닛 사용량 열은 쿼리에서 사용된 컴퓨팅 유닛을 표시하여 관리자가 예약된 쿼리 또는 API 기반 쿼리의 리소스 사용량을 평가할 수 있도록 합니다." (쿼리 센터 섹션에서 발췌) TheEDU-
262: Cortex XDR 조사 및 대응 과정에서는 쿼리 관리를 다루며, "컴퓨트 유닛 사용량은 쿼리 센터에서 각 쿼리가 사용하는 리소스에 대한 세부 정보를 제공합니다"(과정 자료에서 발췌)라고 명시되어 있습니다. Palo Alto Networks Certified XDR Engineer 데이터시트에는 쿼리 리소스 관리를 포함한 "유지 관리 및 문제 해결"이 핵심 시험 주제로 포함되어 있습니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 조사 및 대응 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
XDR-Engineer 문제 3
민감하고 규제가 엄격한 환경에서 Cortex XDR 에이전트를 구성할 때 고려해야 할 두 단계는 무엇입니까? (두 가지를 선택하세요.)
정답: B,C
민감하고 규제가 엄격한 환경(예: 의료, 금융)에서 Cortex XDR 에이전트 구성은 보안과 안정성, 규정 준수 간의 균형을 유지해야 합니다. 이를 위해 에이전트 업그레이드 및 콘텐츠 업데이트를 제어하여 중단을 최소화하는 동시에 적시에 보안 업데이트를 제공해야 합니다. 이러한 균형을 달성하기 위해 다음 단계를 권장합니다.
* 정답 분석 (B, C):
* B. 에이전트 업그레이드 범위를 유지 관리 릴리스로만 제한하는 에이전트 설정 프로필을 생성합니다. 규제된 환경에서 에이전트를 자주 업그레이드하면 불안정성이나 호환성 문제가 발생할 위험이 있습니다. 유지 관리 릴리스로만 업그레이드를 제한하면(예: 버그 수정 및 사소한 업데이트, 주요 버전 변경은 제외) 중요한 문제를 해결하는 동시에 안정성을 확보할 수 있습니다. 이는 에이전트 설정 프로필에서 업그레이드 범위를 제어하도록 구성됩니다.
* C. 에이전트 설정 프로필을 만들고, 콘텐츠 자동 업데이트를 활성화하고, 4일간 지연을 포함합니다. 콘텐츠 업데이트(예: 행동 위협 보호 규칙, 로컬 분석 논리)는 보호 유지에 중요하지만, 규제된 환경에서는 테스트를 위해 지연될 수 있습니다.
4일 지연으로 콘텐츠 자동 업데이트를 활성화하면 업데이트가 자동으로 적용되고 변경 사항을 검증할 수 있는 창이 제공되어 예상치 못한 동작의 위험이 줄어듭니다.
* 다른 옵션은 왜 안 되나요?
* A. 중요 환경 버전 활성화: Cortex XDR에는 특정 "중요 환경 버전" 설정이 없습니다. 이 옵션은 잘못된 명칭으로 보이며, 규제 대상 환경에 대한 표준 에이전트 구성 방식과 일치하지 않습니다.
* D. 사소한 콘텐츠 버전 업데이트 활성화: 사소한 콘텐츠 업데이트를 활성화하는 것은 유용할 수 있지만, 규제된 환경에서 필요한 제어 기능(예: 테스트 지연)을 제공하지는 않습니다.
옵션 C(지연된 자동 업데이트)는 더 포괄적이고 적절한 단계입니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 규제 환경에 대한 에이전트 구성을 다음과 같이 설명합니다. "민감한 환경에서는 에이전트 설정 프로필을 구성하여 유지 관리 릴리스로의 업그레이드를 제한하고, 안정성과 규정 준수를 위해 지연 시간(예: 4일)을 두고 콘텐츠 자동 업데이트를 활성화해야 합니다." (에이전트 설정 섹션에서 발췌) EDU-260: Cortex XDR 예방 및 배포 과정에서는 에이전트 관리에 대해 다루며, "규제 환경에서는 보안과 안정성의 균형을 위해 유지 관리 전용 업그레이드와 지연된 콘텐츠 업데이트가 권장됩니다." (과정 자료에서 발췌) Palo Alto Networks Certified XDR Engineer 데이터시트에서는 "Cortex XDR 에이전트 구성"을 주요 시험 주제로 포함하여 규제 환경에 대한 설정을 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
* 정답 분석 (B, C):
* B. 에이전트 업그레이드 범위를 유지 관리 릴리스로만 제한하는 에이전트 설정 프로필을 생성합니다. 규제된 환경에서 에이전트를 자주 업그레이드하면 불안정성이나 호환성 문제가 발생할 위험이 있습니다. 유지 관리 릴리스로만 업그레이드를 제한하면(예: 버그 수정 및 사소한 업데이트, 주요 버전 변경은 제외) 중요한 문제를 해결하는 동시에 안정성을 확보할 수 있습니다. 이는 에이전트 설정 프로필에서 업그레이드 범위를 제어하도록 구성됩니다.
* C. 에이전트 설정 프로필을 만들고, 콘텐츠 자동 업데이트를 활성화하고, 4일간 지연을 포함합니다. 콘텐츠 업데이트(예: 행동 위협 보호 규칙, 로컬 분석 논리)는 보호 유지에 중요하지만, 규제된 환경에서는 테스트를 위해 지연될 수 있습니다.
4일 지연으로 콘텐츠 자동 업데이트를 활성화하면 업데이트가 자동으로 적용되고 변경 사항을 검증할 수 있는 창이 제공되어 예상치 못한 동작의 위험이 줄어듭니다.
* 다른 옵션은 왜 안 되나요?
* A. 중요 환경 버전 활성화: Cortex XDR에는 특정 "중요 환경 버전" 설정이 없습니다. 이 옵션은 잘못된 명칭으로 보이며, 규제 대상 환경에 대한 표준 에이전트 구성 방식과 일치하지 않습니다.
* D. 사소한 콘텐츠 버전 업데이트 활성화: 사소한 콘텐츠 업데이트를 활성화하는 것은 유용할 수 있지만, 규제된 환경에서 필요한 제어 기능(예: 테스트 지연)을 제공하지는 않습니다.
옵션 C(지연된 자동 업데이트)는 더 포괄적이고 적절한 단계입니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 규제 환경에 대한 에이전트 구성을 다음과 같이 설명합니다. "민감한 환경에서는 에이전트 설정 프로필을 구성하여 유지 관리 릴리스로의 업그레이드를 제한하고, 안정성과 규정 준수를 위해 지연 시간(예: 4일)을 두고 콘텐츠 자동 업데이트를 활성화해야 합니다." (에이전트 설정 섹션에서 발췌) EDU-260: Cortex XDR 예방 및 배포 과정에서는 에이전트 관리에 대해 다루며, "규제 환경에서는 보안과 안정성의 균형을 위해 유지 관리 전용 업그레이드와 지연된 콘텐츠 업데이트가 권장됩니다." (과정 자료에서 발췌) Palo Alto Networks Certified XDR Engineer 데이터시트에서는 "Cortex XDR 에이전트 구성"을 주요 시험 주제로 포함하여 규제 환경에 대한 설정을 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
XDR-Engineer 문제 4
XDR Collector를 사용하여 Windows와 Linux 시스템 모두에 적용할 수 있는 기본 제공 템플릿이 있는 어떤 구성 프로필 옵션이 있습니까?
정답: A
Cortex XDR의 XDR Collector는 Windows 및 Linux 시스템을 포함한 서버와 엔드포인트에서 로그와 이벤트를 수집하고 분석을 위해 Cortex XDR 클라우드로 전달하는 경량 도구입니다. 구성을 간소화하기 위해 Cortex XDR은 다양한 로그 수집 방법에 대한 기본 제공 템플릿을 제공합니다. 이 질문은 Windows 및 Linux 시스템 모두에 적용할 수 있는 기본 제공 템플릿이 포함된 구성 프로필 옵션을 요청합니다.
* 정답 분석(A): Filebeat는 Cortex XDR의 XDR Collector에서 지원하는 다재다능한 로그 전송기로, Windows와 Linux 시스템의 파일에서 로그를 수집하기 위한 내장 템플릿을 갖추고 있습니다.
Filebeat는 다양한 소스(예: 애플리케이션 로그, 시스템 로그)에서 로그를 수집하도록 구성할 수 있으며, 플랫폼에 구애받지 않아 이기종 환경에 적합합니다. Cortex XDR은 사전 구성된 Filebeat 템플릿을 제공하여 일반적인 로그 유형에 대한 설정을 간소화하고 운영 체제 간 호환성을 보장합니다.
* 다른 옵션은 왜 안 되나요?
* B. HTTP 수집기 템플릿: HTTP 수집기 템플릿은 HTTP를 통해 데이터를 수집하는 데 사용됩니다.
/HTTPS API는 Windows 또는 Linux 시스템에 국한되지 않으며 플랫폼 기반 로그 수집 방식도 아닙니다. 또한 Filebeat에 비해 시스템 수준 로그 수집에 덜 일반적으로 사용됩니다.
* C. XDR 수집기 설정: "XDR 수집기 설정"은 XDR 수집기의 일반적인 구성을 의미하지만, 특정 템플릿을 의미하는 것은 아닙니다. XDR 수집기는 실제 로그 수집을 위해 Filebeat 또는 Winlogbeat와 같은 템플릿을 사용하므로 이 옵션은 너무 모호합니다.
* D. Winlogbeat: Winlogbeat는 Windows 이벤트 로그를 수집하도록 특별히 설계된 로그 전송 프로그램입니다. Linux 시스템에서는 지원되지 않으므로 두 플랫폼 모두에 적합하지 않습니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 XDR Collector 템플릿에 대해 다음과 같이 설명합니다. "Filebeat 템플릿은 Windows 및 Linux 시스템 모두의 파일에서 로그를 수집하는 데 사용되며, 여러 플랫폼에서 유연한 로그 수집을 지원합니다"(데이터 수집 섹션에서 발췌). EDU-260: Cortex XDR 예방 및 배포 과정에서는 XDR Collector 구성을 다루며, "Filebeat는 Windows 및 Linux용 기본 제공 템플릿을 지원하는 로그 수집을 위한 크로스 플랫폼 솔루션입니다"(과정 자료에서 발췌). Palo Alto Networks Certified XDR Engineer 데이터시트에서는 XDR Collector 템플릿을 포함하여 "데이터 수집 및 통합"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
* 정답 분석(A): Filebeat는 Cortex XDR의 XDR Collector에서 지원하는 다재다능한 로그 전송기로, Windows와 Linux 시스템의 파일에서 로그를 수집하기 위한 내장 템플릿을 갖추고 있습니다.
Filebeat는 다양한 소스(예: 애플리케이션 로그, 시스템 로그)에서 로그를 수집하도록 구성할 수 있으며, 플랫폼에 구애받지 않아 이기종 환경에 적합합니다. Cortex XDR은 사전 구성된 Filebeat 템플릿을 제공하여 일반적인 로그 유형에 대한 설정을 간소화하고 운영 체제 간 호환성을 보장합니다.
* 다른 옵션은 왜 안 되나요?
* B. HTTP 수집기 템플릿: HTTP 수집기 템플릿은 HTTP를 통해 데이터를 수집하는 데 사용됩니다.
/HTTPS API는 Windows 또는 Linux 시스템에 국한되지 않으며 플랫폼 기반 로그 수집 방식도 아닙니다. 또한 Filebeat에 비해 시스템 수준 로그 수집에 덜 일반적으로 사용됩니다.
* C. XDR 수집기 설정: "XDR 수집기 설정"은 XDR 수집기의 일반적인 구성을 의미하지만, 특정 템플릿을 의미하는 것은 아닙니다. XDR 수집기는 실제 로그 수집을 위해 Filebeat 또는 Winlogbeat와 같은 템플릿을 사용하므로 이 옵션은 너무 모호합니다.
* D. Winlogbeat: Winlogbeat는 Windows 이벤트 로그를 수집하도록 특별히 설계된 로그 전송 프로그램입니다. Linux 시스템에서는 지원되지 않으므로 두 플랫폼 모두에 적합하지 않습니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 XDR Collector 템플릿에 대해 다음과 같이 설명합니다. "Filebeat 템플릿은 Windows 및 Linux 시스템 모두의 파일에서 로그를 수집하는 데 사용되며, 여러 플랫폼에서 유연한 로그 수집을 지원합니다"(데이터 수집 섹션에서 발췌). EDU-260: Cortex XDR 예방 및 배포 과정에서는 XDR Collector 구성을 다루며, "Filebeat는 Windows 및 Linux용 기본 제공 템플릿을 지원하는 로그 수집을 위한 크로스 플랫폼 솔루션입니다"(과정 자료에서 발췌). Palo Alto Networks Certified XDR Engineer 데이터시트에서는 XDR Collector 템플릿을 포함하여 "데이터 수집 및 통합"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
XDR-Engineer 문제 5
어떤 XQL 쿼리를 BIOC(침해 행동 지표) 규칙으로 저장한 다음 사용자 지정 방지 규칙으로 변환할 수 있습니까?
정답: D
Cortex XDR에서 동작 지표 침해(BIOC) 규칙은 알림을 트리거할 수 있는 특정 엔드포인트 동작 패턴(예: 프로세스 실행, 파일 작업 또는 네트워크 활동)을 정의합니다. BIOC는 일반적으로 XQL(XDR Query Language) 쿼리를 사용하여 생성되며, 이후 BIOC 규칙으로 저장되어 지정된 동작을 모니터링합니다. BIOC를 사용자 지정 방지 규칙으로 변환하려면 BIOC를 제한 프로필과 연결해야 합니다. 제한 프로필을 통해 정의된 동작을 단순히 탐지하는 것이 아니라 차단할 수 있습니다. 쿼리가 BIOC로 적합하고 방지 규칙으로 변환 가능하려면 다음 기준을 충족해야 합니다.
* Cortex XDR이 엔드포인트에서 감지할 수 있는 프로세스 실행, 파일 작업, 장치 이벤트 등의 동작을 모니터링해야 합니다.
* 동작은 예방을 위해 실행 가능해야 합니다(예: 프로세스 또는 파일 작업 차단). 일반적으로 프로세스 시작(ENUM.PROCESS)이나 파일 수정(ENUM.FILE)과 같은 이벤트가 포함됩니다.
* 쿼리에는 BIOC 규칙으로 변환할 수 없는 지나치게 복잡한 논리(예: 충돌하는 조건을 가진 여러 이벤트 유형)가 포함되어서는 안 됩니다.
각 쿼리를 분석하여 다음 기준을 충족하는 쿼리가 무엇인지 확인해 보겠습니다.
* 옵션 A: 데이터 집합 = xdr_data | 필터 이벤트 유형 = ENUM.DEVICE ...이 쿼리는 장치 관련 이벤트(예: USB 장치 연결)와 관련된 이벤트 유형 = ENUM.DEVICE를 필터링합니다.
장치 이벤트는 모니터링할 수 있지만, 추가 조건(action_process_image_name = "**" 및 action_process_image_command_line)은 프로세스 관련 속성으로, 일반적으로 ENUM.DEVICE가 아닌 ENUM.PROCESS 이벤트와 연결됩니다. 이러한 불일치로 인해 호환되지 않는 이벤트 유형과 속성이 결합되어 BIOC에 대한 쿼리가 유효하지 않게 됩니다. 또한, 장치 이벤트는 일반적으로 사용자 지정 방지 규칙에 사용되지 않습니다. 방지 규칙은 장치 활동이 아닌 프로세스 또는 파일 작업 차단에 중점을 두기 때문입니다.
* 옵션 B: 데이터 세트 = xdr_data | 필터 이벤트 유형 = ENUM.PROCESS 및 이벤트 유형 = ENUM.
DEVICE ...이 쿼리는 ENUM.PROCESS와 ENUM 모두인 이벤트를 필터링하려고 시도합니다.
DEVICE(event_type = ENUM.PROCESS, event_type = ENUM.DEVICE)는 논리적으로 올바르지 않습니다. 이벤트는 동시에 두 가지 이벤트 유형을 가질 수 없기 때문입니다. XQL에서 event_type 필드는 단일 유형(예: ENUM.PROCESS 또는 ENUM.DEVICE)과 일치해야 하며, 두 유형을 and 연산자로 결합하면 일치 항목이 없습니다. 따라서 BIOC 규칙을 생성하는 데 사용할 수 없는 쿼리입니다. 아무런 결과도 반환하지 않고 탐지 또는 예방에 사용할 수 없기 때문입니다.
* 옵션 C: 데이터 집합 = xdr_data | 필터 이벤트 유형 = FILE ... 이 쿼리는 특정 호스트 이름에서 특정 하위 유형(FILE_CREATE_NEW, FILE_WRITE, FILE_REMOVE, FILE_RENAME)을 가진 파일 관련 이벤트(이벤트 유형 = FILE)를 모니터링하며, 파일 경로(/etc/*, /usr/local/share/*, /usr/share/*)와 확장자(conf, txt)를 대상으로 합니다. 이 쿼리를 BIOC로 저장하여 파일 작업을 탐지할 수 있지만, 사용자 지정 방지 규칙으로 변환하는 데는 적합하지 않습니다. Cortex XDR 방지 규칙은 일반적으로 파일 작업이 아닌 프로세스 실행 차단(제한 프로필을 통해)에 중점을 둡니다. 파일 기반 BIOC는 알림을 생성할 수 있지만, 이를 방지 규칙으로 변환하는 것은 덜 일반적입니다. Cortex XDR의 방지 메커니즘은 주로 프로세스 지향적(예: 프로세스 종료)이고 파일 지향적(예: 파일 쓰기 차단)이 아니기 때문입니다. 또한 쿼리에는 복잡한 논리(예: 여러 하위 유형, lowercase() 함수, 필드 절)가 포함되어 있어 예방 규칙으로 완벽하게 변환되지 않을 수 있습니다.
* 옵션 D: dataset = xdr_data | filter event_type = ENUM.PROCESS ... 이 쿼리는 프로세스 이미지 이름이 패턴(action_process_image_name = "**")과 일치하고, 명령줄에 -e cmd*가 포함되고, *cmd.exe -a /c*와 일치하는 명령을 제외하는 프로세스 실행 이벤트(event_type = ENUM.PROCESS)를 모니터링합니다. 이 쿼리는 Cortex XDR이 엔드포인트에서 감지할 수 있는 특정 프로세스 동작(예: 특정 명령줄 인수로 실행되는 프로세스)을 정의하므로 BIOC 규칙에 적합합니다. 또한, 이러한 유형의 BIOC는 제한 프로필과 연결하여 사용자 지정 방지 규칙으로 변환할 수 있으며, 조건이 충족되면 프로세스 실행을 차단할 수 있습니다. 예를 들어, action_process_image_name
"**" 및 action_process_image_command_line = "-e cmd*", 제한 프로필을 사용하면 이러한 프로세스를 종료하여 동작을 방지할 수 있습니다.
정답 분석(D):
옵션 D는 프로세스 기반 동작(ENUM.PROCESS)을 정의하고, 이를 BIOC 규칙으로 저장하여 특정 활동(특정 명령줄 인수가 있는 프로세스)을 탐지하기 때문에 올바른 선택입니다. 이후 제한 프로필에 추가하여 사용자 지정 방지 규칙으로 변환할 수 있으며, 조건이 충족되면 프로세스 실행을 차단합니다. 쿼리의 조건은 간단하고 Cortex XDR의 BIOC 및 방지 프레임워크와 호환되므로 해당 요구 사항에 가장 적합합니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 BIOC 및 방지 규칙에 대해 설명합니다. "프로세스 이벤트를 모니터링하는 XQL 쿼리(ENUM.PROCESS)를 BIOC 규칙으로 저장하여 특정 동작을 탐지할 수 있으며, 이러한 BIOC를 제한 프로필에 추가하여 해당 동작을 차단하는 사용자 지정 방지 규칙을 생성할 수 있습니다"(BIOC 및 제한 프로필 섹션에서 발췌). EDU-260: Cortex XDR 방지 및 배포 과정에서는 BIOC 생성에 대해 다루며, "프로세스 기반 XQL 쿼리는 BIOC에 적합하며, 제한 프로필을 통해 실행을 차단하는 방지 규칙으로 변환할 수 있습니다"(과정 자료에서 발췌). Palo Alto Networks Certified XDR Engineer 데이터시트에서는 BIOC 규칙 생성 및 방지 규칙으로의 변환을 포함하는 "탐지 엔지니어링"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
* Cortex XDR이 엔드포인트에서 감지할 수 있는 프로세스 실행, 파일 작업, 장치 이벤트 등의 동작을 모니터링해야 합니다.
* 동작은 예방을 위해 실행 가능해야 합니다(예: 프로세스 또는 파일 작업 차단). 일반적으로 프로세스 시작(ENUM.PROCESS)이나 파일 수정(ENUM.FILE)과 같은 이벤트가 포함됩니다.
* 쿼리에는 BIOC 규칙으로 변환할 수 없는 지나치게 복잡한 논리(예: 충돌하는 조건을 가진 여러 이벤트 유형)가 포함되어서는 안 됩니다.
각 쿼리를 분석하여 다음 기준을 충족하는 쿼리가 무엇인지 확인해 보겠습니다.
* 옵션 A: 데이터 집합 = xdr_data | 필터 이벤트 유형 = ENUM.DEVICE ...이 쿼리는 장치 관련 이벤트(예: USB 장치 연결)와 관련된 이벤트 유형 = ENUM.DEVICE를 필터링합니다.
장치 이벤트는 모니터링할 수 있지만, 추가 조건(action_process_image_name = "**" 및 action_process_image_command_line)은 프로세스 관련 속성으로, 일반적으로 ENUM.DEVICE가 아닌 ENUM.PROCESS 이벤트와 연결됩니다. 이러한 불일치로 인해 호환되지 않는 이벤트 유형과 속성이 결합되어 BIOC에 대한 쿼리가 유효하지 않게 됩니다. 또한, 장치 이벤트는 일반적으로 사용자 지정 방지 규칙에 사용되지 않습니다. 방지 규칙은 장치 활동이 아닌 프로세스 또는 파일 작업 차단에 중점을 두기 때문입니다.
* 옵션 B: 데이터 세트 = xdr_data | 필터 이벤트 유형 = ENUM.PROCESS 및 이벤트 유형 = ENUM.
DEVICE ...이 쿼리는 ENUM.PROCESS와 ENUM 모두인 이벤트를 필터링하려고 시도합니다.
DEVICE(event_type = ENUM.PROCESS, event_type = ENUM.DEVICE)는 논리적으로 올바르지 않습니다. 이벤트는 동시에 두 가지 이벤트 유형을 가질 수 없기 때문입니다. XQL에서 event_type 필드는 단일 유형(예: ENUM.PROCESS 또는 ENUM.DEVICE)과 일치해야 하며, 두 유형을 and 연산자로 결합하면 일치 항목이 없습니다. 따라서 BIOC 규칙을 생성하는 데 사용할 수 없는 쿼리입니다. 아무런 결과도 반환하지 않고 탐지 또는 예방에 사용할 수 없기 때문입니다.
* 옵션 C: 데이터 집합 = xdr_data | 필터 이벤트 유형 = FILE ... 이 쿼리는 특정 호스트 이름에서 특정 하위 유형(FILE_CREATE_NEW, FILE_WRITE, FILE_REMOVE, FILE_RENAME)을 가진 파일 관련 이벤트(이벤트 유형 = FILE)를 모니터링하며, 파일 경로(/etc/*, /usr/local/share/*, /usr/share/*)와 확장자(conf, txt)를 대상으로 합니다. 이 쿼리를 BIOC로 저장하여 파일 작업을 탐지할 수 있지만, 사용자 지정 방지 규칙으로 변환하는 데는 적합하지 않습니다. Cortex XDR 방지 규칙은 일반적으로 파일 작업이 아닌 프로세스 실행 차단(제한 프로필을 통해)에 중점을 둡니다. 파일 기반 BIOC는 알림을 생성할 수 있지만, 이를 방지 규칙으로 변환하는 것은 덜 일반적입니다. Cortex XDR의 방지 메커니즘은 주로 프로세스 지향적(예: 프로세스 종료)이고 파일 지향적(예: 파일 쓰기 차단)이 아니기 때문입니다. 또한 쿼리에는 복잡한 논리(예: 여러 하위 유형, lowercase() 함수, 필드 절)가 포함되어 있어 예방 규칙으로 완벽하게 변환되지 않을 수 있습니다.
* 옵션 D: dataset = xdr_data | filter event_type = ENUM.PROCESS ... 이 쿼리는 프로세스 이미지 이름이 패턴(action_process_image_name = "**")과 일치하고, 명령줄에 -e cmd*가 포함되고, *cmd.exe -a /c*와 일치하는 명령을 제외하는 프로세스 실행 이벤트(event_type = ENUM.PROCESS)를 모니터링합니다. 이 쿼리는 Cortex XDR이 엔드포인트에서 감지할 수 있는 특정 프로세스 동작(예: 특정 명령줄 인수로 실행되는 프로세스)을 정의하므로 BIOC 규칙에 적합합니다. 또한, 이러한 유형의 BIOC는 제한 프로필과 연결하여 사용자 지정 방지 규칙으로 변환할 수 있으며, 조건이 충족되면 프로세스 실행을 차단할 수 있습니다. 예를 들어, action_process_image_name
"**" 및 action_process_image_command_line = "-e cmd*", 제한 프로필을 사용하면 이러한 프로세스를 종료하여 동작을 방지할 수 있습니다.
정답 분석(D):
옵션 D는 프로세스 기반 동작(ENUM.PROCESS)을 정의하고, 이를 BIOC 규칙으로 저장하여 특정 활동(특정 명령줄 인수가 있는 프로세스)을 탐지하기 때문에 올바른 선택입니다. 이후 제한 프로필에 추가하여 사용자 지정 방지 규칙으로 변환할 수 있으며, 조건이 충족되면 프로세스 실행을 차단합니다. 쿼리의 조건은 간단하고 Cortex XDR의 BIOC 및 방지 프레임워크와 호환되므로 해당 요구 사항에 가장 적합합니다.
정확한 발췌문 또는 참조:
Cortex XDR 문서 포털에서는 BIOC 및 방지 규칙에 대해 설명합니다. "프로세스 이벤트를 모니터링하는 XQL 쿼리(ENUM.PROCESS)를 BIOC 규칙으로 저장하여 특정 동작을 탐지할 수 있으며, 이러한 BIOC를 제한 프로필에 추가하여 해당 동작을 차단하는 사용자 지정 방지 규칙을 생성할 수 있습니다"(BIOC 및 제한 프로필 섹션에서 발췌). EDU-260: Cortex XDR 방지 및 배포 과정에서는 BIOC 생성에 대해 다루며, "프로세스 기반 XQL 쿼리는 BIOC에 적합하며, 제한 프로필을 통해 실행을 차단하는 방지 규칙으로 변환할 수 있습니다"(과정 자료에서 발췌). Palo Alto Networks Certified XDR Engineer 데이터시트에서는 BIOC 규칙 생성 및 방지 규칙으로의 변환을 포함하는 "탐지 엔지니어링"을 핵심 시험 주제로 다룹니다.
참고문헌:
Palo Alto Networks Cortex XDR 문서 포털: https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR 예방 및 배포 과정 목표 Palo Alto Networks 인증 XDR 엔지니어 데이터시트: https://www.paloaltonetworks.com/services/education
/인증#xdr-엔지니어
- 최근 업로드
- 106USGBC.LEED-Green-Associate-KR.v2026-01-08.q154
- 119Adobe.AD0-E608-KR.v2026-01-08.q54
- 165HP.HPE7-A08.v2026-01-08.q272
- 130Cisco.300-835.v2026-01-08.q117
- 113Workday.Workday-Pro-Integrations.v2026-01-08.q18
- 106CompTIA.CV0-004.v2026-01-08.q215
- 105Juniper.JN0-253.v2026-01-08.q61
- 105CertNexus.AIP-210.v2026-01-08.q63
- 188ISACA.CRISC.v2026-01-07.q193
- 157PECB.ISO-9001-Lead-Auditor.v2026-01-07.q191
[×]
PDF 파일 다운로드
메일 주소를 입력하시고 다운로드 하세요. PaloAltoNetworks.XDR-Engineer.v2026-01-06.q17 모의시험 시험자료를 다운 받으세요.