XSIAM-Engineer 문제 1
중요한 XSIAM 자동화 규칙은 특정 기준(예: 소스 IP, 특정 메시지 콘텐츠)과 일치하는 '정보' 심각도의 인시던트를 자동으로 억제하도록 설계되었습니다. 그러나 배포 후, 동일한 기준을 충족하는 것처럼 보이는 일부 인시던트는 억제되지만 다른 인시던트는 억제되지 않는 것을 확인할 수 있습니다. XSIAM 자동화 로그에는 오류가 보고되지 않았습니다. 특정 인시던트가 누락되는 이유를 정확히 파악하는 가장 효과적인 디버깅 전략은 무엇입니까?
XSIAM-Engineer 문제 2
보안 운영 센터(SOC)에서 Palo Alto Networks XSIAM을 활용하고 있으며, 여러 외부 소스(예: AbuselPDB, VirusTotal)의 위협 인텔리전스를 활용하여 알림에서 발견된 IP 주소를 자동으로 보강하려고 합니다. 현재 마켓플레이스의 위협 인텔리전스 보강용 콘텐츠 팩은 단일 소스만 지원합니다. 다음 중 추가 위협 인텔리전스 피드를 통합하고 새로운 알림에 대한 일관된 적용을 보장하는 가장 효율적이고 확장 가능한 방법은 무엇입니까?
XSIAM-Engineer 문제 3
보안 분석가는 중요 Linux 서버에 Cortex XSIAM 에이전트를 설치해야 합니다. 서버는 보안이 강화되어 인터넷에 접속할 수 없지만, 에이전트 설치 프로그램을 호스팅하는 로컬 HTTP 서버에는 접속할 수 있습니다. 분석가는 에이전트가 특정 프록시 구성으로 설치되고 'Critical_Servers' 에이전트 그룹에 즉시 할당되도록 하려고 합니다. 가장 적합한 명령 조합은 무엇입니까?
XSIAM-Engineer 문제 4
XSIAM 플레이북은 랜섬웨어 확산을 억제하도록 설계되었습니다. 중요한 단계는 영향을 받은 엔드포인트를 격리하는 것입니다. 선택된 플레이북 작업은 '엔드포인트 격리'입니다. Cortex XDR 에이전트를 사용하여 Windows 엔드포인트를 성공적으로 격리하려면 다음 중 어떤 조건을 충족해야 합니까?
XSIAM-Engineer 문제 5
한 회사의 XSIAM 인스턴스에서 콘텐츠 전송을 위해 의도적으로 공개된 여러 S3 버킷에 대한 '공개적으로 접근 가능한 스토리지 버킷' 알림이 대량으로 생성되고 있습니다. 이러한 정상적인 알림은 불필요한 정보를 생성하여 실제로 잘못 구성되었거나 악의적인 공개 버킷을 식별하는 데 방해가 됩니다. 보안 엔지니어로서, 중요 자산에 대한 경계를 유지하면서 이러한 오탐률을 줄이기 위해 ASM 탐지 규칙을 어떻게 최적화하시겠습니까?
