[2023年12月最新リリース]PCNSE日本語試験問題はあなたをパスさせる
Palo Alto Networks PCNSE日本語試験基本問題とアンサー
質問 # 15
セキュリティ ポリシー ルールは、脆弱性保護プロファイルと「拒否」アクションで構成されます。この構成は、一致したトラフィックに対してどのアクションを引き起こしますか?
- A. 「拒否」アクションは、関連付けられた脆弱性保護プロファイルで定義された重大度ごとに定義されたアクションに取って代わり、ファイアウォールは一致したセッションを拒否します。
- B. 構成は、脆弱性シグネチャが検出されない限り、一致したセッションを許可します。
- C. アクションが「拒否」に設定されている場合、プロファイル設定セクションはグレー表示されます。
- D. ファイアウォールはこのセキュリティ ポリシー ルールをスキップします。コミット中に警告が表示される
正解:A
解説:
Any configured Security Profiles have no effect if the Security policy rule action is set to "Deny" Explanation:
https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/policy/security-profiles.html First note in above link states:
"Security profiles are not used in the match criteria of a traffic flow. The security profile is applied to scan traffic after the application or category is allowed by the security policy." The first thing the firewall checks per it's flow is the security policy match and action. The Security Profile never gets checked if a match happens on a policy set to deny that match.
質問 # 16 
- A. Option A
- B. Option B
- C. Option C
- D. Option D
正解:C
質問 # 17 
- A. WildFire
- B. Server Monitoring
- C. Syslog
- D. 802.1X
- E. XML API
正解:B、C、E
質問 # 18
管理者は、Active Directoryで定義された特定のユーザーとグループへのトラフィックを許可するセキュリティルールをデバイスグループに構築する必要があります。Panoramaからこれらのルールのユーザーとグループを選択するには、何を構成する必要がありますか。
- A. セキュリティルールは、デバイスグループ内のファイアウォールを対象とし、グループマッピングを構成する必要があります
- B. グループマッピングが設定されているマスターデバイスは、セキュリティルールが設定されているデバイスグループに設定する必要があります
- C. すべてのファイアウォールが同じマッピングを持つようにするには、PanoramaでユーザーIDの再配布を構成する必要があります
- D. ユーザーID証明書プロファイルはPanoramaで構成する必要があります
正解:B
質問 # 19
管理者は、すべての非ネイティブMFAプラットフォームをPAN-OS®ソフトウェアに統合するためにどの方法を使用しますか?
- A. DUO
- B. オクタ
- C. RADIUS
- D. PingID
正解:C
解説:
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/authentication/authentication-types/multi-factor-authentication
For end-user authentication via Authentication Policy, the firewall directly integrates with several MFA platforms (Duo v2, Okta Adaptive, PingID, and RSA SecurID), as well as integrating through RADIUS or SAML for all other MFA platforms.
質問 # 20 
- A. Option A
- B. Option B
- C. Option C
- D. Option D
正解:C
質問 # 21
管理者は、Palo Alto Networks NGFW の管理インターフェイスでトラフィックをどのように監視/キャプチャしますか?
- A. tcpdump コマンドを使用します。
- B. debug dataplane packet-diag set capture stage management file コマンドを使用します。
- C. トラフィック キャプチャの 4 つの段階 (TX、RX、DROP、ファイアウォール) をすべて有効にします。
- D. debug dataplane packet-diag set capture stage firewall file コマンドを使用します。
正解:A
質問 # 22
User-ID ユーザー マッピングを収集するための最も信頼できるソースはどれですか?
- A. GlobalProtect
- B. Microsoft Active Directory
- C. Microsoft Exchange
- D. Syslog Listener
正解:A
解説:
Explanation
User-ID is a feature that enables you to identify and control users on your network based on their usernames instead of their IP addresses1. User mapping is the process of mapping IP addresses to usernames using various sources of information1.
The most reliable source for collecting User-ID user mapping is GlobalProtect . GlobalProtect is a solution that provides secure access to your network and resources from anywhere. GlobalProtect agents on endpoints send user mapping information directly to the firewall or Panorama, which eliminates the need for probing other sources2. GlobalProtect also supports dynamic IP address changes and roaming users2.
質問 # 23
セキュリティ エンジニアは、前夜に IPSec VPN トンネルがダウンしたという報告を複数受け取りました。エンジニアは、システム トグの下に VPN に関連するイベントを見つけることができませんでした。
考えられる原因は何ですか?
- A. GTP とトンネルのログ クォータを調整する必要があります
- B. トンネル モニターは構成されていません。
- C. Dead Peer Detection は無効です。
- D. トンネル検査の設定が正しくありません。
正解:B
解説:
This means that the firewall does not have a mechanism to monitor the status of the IPSec VPN tunnel and generate logs when it goes down or up. The Tunnel Monitor is an optional feature that can be enabled on each IPSec tunnel interface and it uses ICMP probes to check the connectivity of the tunnel peer. If the firewall does not receive a response from the peer after a specified number of retries, it marks the tunnel as down and logs an event1.
質問 # 24
ファイアウォール管理者は、スタンドアロンのパロアルトネットワークス次世代ファイアウォールをプロビジョニングするために必要なほとんどの手順を完了しました。最後のステップとして、管理者はセキュリティポリシーの1つをテストしたいと考えています。
テストに一致するルールを表示するCLIコマンド構文はどれですか?
- A. show security rule source <ip_address> destination <IP_address> destination port <port number> protocol <protocol number>
- B. show security-policy-match source <ip_address> destination <IP_address> destination port <port number> protocol <protocol number>
- C. test security rule source <ip_address> destination <IP_address> destination port <port number> protocol <protocol number>
- D. test security -policy- match source <ip_address> destination <IP_address> destination port <port number> protocol <protocol number
正解:D
解説:
test security-policy-match source
test security-policy-match source <source IP> destination <destination IP> protocol <protocol number>
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Test-Which-Security-Policy-Applies-to-a-Traffic-Flow/ta-p/53693
質問 # 25
エンジニアは、Palo Alto Networks ファイアウォールのレイヤー 3 サブインターフェイスを介してルーティングされるネットワーク セグメントでの自動化のために、ファイアウォールへの XML API アクセスを許可する必要があります。ただし、セキュリティ ポリシーにより、このネットワーク セグメントは専用の管理インターフェイスにアクセスできません。
管理インターフェイスへの既存のアクセスを変更せずに、エンジニアはどのようにこの要求を満たすことができますか?
- A. サブインターフェイスのインターフェイス管理プロファイルで HTTPS を有効にします。
- B. [セットアップ] > [デバイス] > [インターフェイス] でサブインターフェイスを管理インターフェイスとして指定します。
- C. ネットワーク セグメントの IP 範囲を許可された IP アドレス リストに追加します。
- D. サブインターフェイスを使用するように HTTP のサービス ルートを構成します。
正解:A
質問 # 26
APファイアウォールクラスターがIPsecトンネルセキュリティアソシエーション(SA)を同期するとどうなりますか?
- A. フェーズ2SAはHA2フィンクを介して同期されます
- B. フェーズ1およびフェーズ2のSAはHA2リンクを介して同期されます
- C. フェーズ1およびフェーズ2のSAはHA3リンクを介して同期されます
- D. フェーズ1SAはHA1リンクを介して同期されます
正解:A
解説:
From the Palo Alto documentation below, "when a VPN is terminated on a Palo Alto firewall HA pair, not all IPSEC related information is synchronized between the firewalls... This is an expected behavior. IKE phase 1 SA information is NOT synchronized between the HA firewalls." And from the second link, "Data link (HA2) is used to sync sessions, forwarding tables, IPSec security associations, and ARP tables between firewalls in the HA pair. Data flow on the HA2 link is always unidirectional (except for the HA2 keep-alive). It flows from the active firewall to the passive firewall."
https://know
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAuZCAW ledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAuZCAW&
&lang=en_US%E2%80%A9
lang=en_US%E2%80%A9&
&refURL=http%3A%2F%2Fknowledgebase.palo
refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail altonetworks.com%2FKCSArticleDetail
https://help.aryaka.com/display/public/KNOW/Palo+Alto+Networks+NFV+Technical+Brief
質問 # 27
ドラッグアンドドロップの質問
DoSおよびゾーン保護を計画するためのPANWのベストプラクティスに基づいて、各タイプのDoS攻撃をそのタイプの攻撃の例と一致させます。
正解:
解説:
Explanation:
Application-Based Attacks
-- Target weaknesses in a particular application and try to exhaust its resources so legitimate users can't use it. An example is the Slowloris attack.
Protocol-Based Attacks
-- Also known as state-exhaustion attacks, they target protocol weaknesses. A common example is a SYN flood attack.
Volumetric Attacks
- -High-volume attacks that attempt to overwhelm the available network resources, especially bandwidth, and bring down the target to prevent legitimate users from accessing its resources. An example is a UDP flood attack.
質問 # 28 
- A. Vulnerability Protection
- B. URL Filtering
- C. Antivirus
- D. Anti-Spyware
正解:A
質問 # 29
管理者は、管理プレーンとデータ プレーンの両方でファイアウォールの CPU 使用率に関する情報を収集する必要があります。
管理者は目的のデータをどこで表示しますか?
- A. サポート > リソース
- B. ダッシュボードのシステム リソース ウィジェット
- C. 監視 > 使用率
- D. アプリケーション コマンド アンド コントロール センター
正解:B
解説:
Explanation
The System Resources widget on the Dashboard in the WebUI shows both the management plane and data plane CPU utilization as well as other system resources such as memory, disk, and session1. The other options do not show both the management plane and data plane CPU utilization. The Application Command and Control Center (ACC) shows the network activity and application usage based on traffic logs2. The Monitor > Utilization page shows the interface utilization and packet buffer utilization3. The Support > Resources page shows the system resources for Panorama only4. References: 1:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/dashboard/dashboard-widgets 2:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/acc/acc-overview 3:
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/monitor/monitor-utilization 4:
https://docs.paloaltonetworks.com/panorama/10-2/panorama-web-interface-help/support/support-resources
質問 # 30
Palo Alto NetworksのNGFW管理者がトラフィックに新しいコンテンツIDのみを適用しながら、アプリケーションと脅威の更新をスケジュールできるようにするオプションはどれですか?
- A. アプリケーションの更新を無効にするを選択し、「脅威の更新のみをインストールする」を選択します。
- B. ダウンロードとインストールを選択します。
- C. ダウンロードのみを選択します。
- D. 「コンテンツ更新時に新しいアプリを無効にする」が選択された状態で、ダウンロードとインストールを選択します。
正解:C
解説:
On the Device Dynamic Updates page, select Schedule . Choose to Disable new apps in content update for downloads and installations of content releases. https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/app-id/manage-new-app-ids-introduced-in-content-releases/disable-or-enable-app-ids
質問 # 31
管理者は、3つのリモートネットワークを備えたPrisma AccessRemoteNetworksコンピューティングロケーションに帯域幅を割り当てます。
管理者がコンピューティングロケーションで構成できる帯域幅の最小量はどれくらいですか?
- A. 75Mbps
- B. 300 Mbps
- C. 90Mbps
- D. 50Mbps
正解:D
解説:
Explanation
The number you specify for the bandwidth applies to both the egress and ingress traffic for the remote network connection. If you specify a bandwidth of 50 Mbps, Prisma Access provides you with a remote network connection with 50 Mbps of bandwidth on ingress and 50 Mbps on egress. Your bandwidth speeds can go up to 10% over the specified amount without traffic being dropped; for a 50 Mbps connection, the maximum bandwidth allocation is 55 Mbps on ingress and 55 Mbps on egress (50 Mbps plus 10% overage allocation).
https://docs.paloaltonetworks.com/prisma/prisma-access/prisma-access-panorama-admin/prisma-access-for-netw
質問 # 32 
- A. CRT
- B. OCSP
- C. SSL/TLS Service Profile
- D. Cert-Validation-Profile
- E. CRL
正解:B、E
質問 # 33
ある会社が、VLANトランクリンク上の2つのコアスイッチの間にPA-3060ファイアウォールを設置したいと考えています。各VLANを独自のゾーンに割り当て、タグなし(ネイティブ)トラフィックを独自のゾーンに割り当てる必要があります。このオプションにより、複数のVLANを個別のゾーンに区別できますか?
- A. VLANごとにVLANオブジェクトを作成し、各VLANIDに一致するVLANインターフェースを割り当てます。追加のVLANごとに繰り返し、タグなしトラフィックにはVLANID0を使用します。各インターフェース/サブインターフェースを一意のゾーンに割り当てます。
- B. 2つのV-Wireインターフェイスを使用してV-Wireオブジェクトを作成し、V-Wireオブジェクトの[TagAllowed]フィールドに「0-4096」の範囲を定義します。
- C. 2つのV-Wireサブインターフェイスを使用してV-Wireオブジェクトを作成し、V-Wireオブジェクトの「TagAllowed」フィールドに1つのVLAN IDのみを割り当てます。追加のVLANごとに繰り返し、タグなしトラフィックにはVLANID0を使用します。 。各インターフェイス/サブインターフェイスを一意のゾーンに割り当てます。
- D. それぞれが単一のVLANIDと共通の仮想ルーターに割り当てられるレイヤー3サブインターフェースを作成します。物理レイヤー3インターフェースは、タグなしトラフィックを処理します。各インターフェース/サブインターフェースtAを割り当てます。ユニークゾーン。インターフェイスにIPアドレスを割り当てないでください。
正解:C
解説:
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/networking/configure-interfaces/virtual-wire-interfaces/vlan-tagged-traffic
Virtual wire interfaces by default allow all untagged traffic. You can, however, use a virtual wire to connect two interfaces and configure either interface to block or allow traffic based on the virtual LAN (VLAN) tags. VLAN tag 0 indicates untagged traffic. You can also create multiple subinterfaces, add them into different zones, and then classify traffic according to a VLAN tag or a combination of a VLAN tag with IP classifiers (address, range, or subnet) to apply granular policy control for specific VLAN tags or for VLAN tags from a specific source IP address, range, or subnet.
質問 # 34
山火事送信ログの次のスニペットが与えられた場合、エンドユーザーは要求された情報にアクセスできましたか?また、その理由は?
- A. いいえ、重大度が高く、判定が悪意があるためです。
- B. はい。アクションがアラートに設定されているためです。
- C. はい、アクションが許可に設定されているためです。
- D. いいえ、これは失敗したフィッシング攻撃の例であるためです。
正解:C
解説:
Explanation
As long as the action is set to allow, then it will still allow it. Threats that have the ability to become critical but have mitigating factors; for example, they may be difficult to exploit, do not result in elevated privileges, or do not have a large victim pool. WildFire Submissions log entries with a malicious verdict and an action set to allow are logged as High.
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/monitoring/view-and-manage-logs/log-types-and-s
質問 # 35
ファイアウォールへのアクセスを認証するために使用できる 3 つの多要素認証方法はどれですか? (3つ選んでください。)
- A. ボイス
- B. SMS
- C. ワンタイムパスワード
- D. ユーザー証明書
- E. 指紋
正解:C、D、E
解説:
Explanation
The three multi-factor authentication methods that can be used to authenticate access to the firewall are One-time Password (OTP), User Certificate, and Fingerprint.
One-time Password (OTP) is a form of two-factor authentication in which a token or code is generated and sent to the user over a secure connection. The user then enters the code to authenticate their access.
User Certificate is a form of two-factor authentication in which the user is required to present a valid certificate in order to access the system. The certificate is usually stored on a physical device, such as a USB drive, and is usually issued by the authentication service provider.
Fingerprint is a form of two-factor authentication in which the user is required to present a valid fingerprint in order to access the system. The fingerprint is usually stored on a physical device, such as a fingerprint reader, and is usually issued by the authentication service provider.
質問 # 36 
A: Option
B: Option
C: Option
D: Option
E: Option
- A. Option C
- B. Option E
- C. Option A
- D. Option B
- E. Option D
正解:D
質問 # 37
PA-5050のデータプレーンにはどの3つの機能がありますか? (3つ選択)
- A. 署名の一致
- B. ネットワーク処理
- C. 管理
- D. 動的ルーティング
- E. プロトコルデコーダ
正解:A、B、D
解説:
In these devices, dataplane zero, or dp0 for short, functions as the master dataplane and determines which dataplane will be used as the session owner that is responsible for processing and inspection.
The data plane provides all data processing and security detection and enforcement, including:
* (B) All networking connectivity, packet forwarding, switching, routing, and network address translation
* Application identification, using the content of the applications, not just port or protocol
* SSL forward proxy, including decryption and re-encryption
* Policy lookups to determine what security policy to enforce and what actions to take, including scanning for threats, logging, and packet marking
* Application decoding, threat scanning for all types of threats and threat prevention
* Logging, with all logs sent to the control plane for processing and storage E: The following diagram depicts both the hardware and software architecture of the next- generation firewall
Incorrect Answers:
C: Management is done in the control plane.
https://www.niap-ccevs.org/st/st_vid10392-st.pdf
質問 # 38
......
2023年最新のリアルな無料Palo Alto Networks PCNSE日本語試験問題集問題と解答:https://jp.fast2test.com/PCNSE-JPN-premium-file.html