C1000-018 IBM Security

四月 12, 2021 by
Filed under: killtest 

IBM QRadar SIEM V7.3.2 Fundamental Analysis:C1000-018,IBM Security
Number of questions: 60
Number of questions to pass: 38
Time allowed: 90 mins
Status: Live
考試由5個部分組成,總共包含大約60個多項選擇題。每個部分標題後面的百分比反映了各個部分中總問題集的大概分佈。

第1節:監視已配置用例的輸出。15%

執行儀表板定制。

查看所有可用的QRadar選項卡(儀表板,日誌活動,網絡活動,資產等)中的輸出。

導航至違法,違法並在違法之內。

將違法行為與觸發規則區分開來。

查看安全訪問趨勢和異常。

查看QRadar檢測到的安全風險和網絡漏洞。

描述不同類型的規則,例如行為,事件,流程,常見,攻擊,異常和閾值規則。
第2部分:對QRadar創建的警報和違規行為進行初步調查。35%

描述罪行嚴重程度的用法。

描述QRadar網絡層次結構。

在進攻詳細信息視圖中說明進攻詳細信息,以及為什麼/如何創建。

標識犯罪的促成事件和/或流信息。

顯示攻擊生命週期(例如,打開,關閉,分配,隱藏,受保護)。

說明右鍵單擊功能(即事件過濾,插件,信息,導航等)。

分解觸發的規則以識別違法的原因。

區分可能的誤報的潛在威脅。

查看涉及該攻擊的主機的漏洞和威脅評估。

描述安全設備的角色,例如防火牆,IDS / IPS,代理,身份驗證設備,QRadar支持的防病毒軟件。

執行違規管理,例如將違規分配給用戶,關閉,保護或隱藏違規,添加註釋,發送電子郵件或將違規標記為後續措施。

演示如何導出流/事件數據以進行外部分析。

總結標準自定義屬性,用戶定義的自定義屬性和規範化屬性的特徵。

概述違規關閉程序。
第3節:確定不良的規則行為並將其上報給管理員。20%

報告潛在的誤報。

報告規則使用情況和這些規則所產生的違法行為。

向安全管理員報告任何異常的安全訪問趨勢和事件。

根據嚴重性向網絡/安全管理員報告威脅,風險或漏洞。

概述簡單的犯罪命名機制。

解釋測試正則表達式的規則。

解釋相關的測試和規則的測試順序。

說明規則響應和規則操作(例如限制器)之間的區別。

識別“特殊”構造塊:主機定義,目錄定義,端口定義。

描述日誌源,流源,漏洞掃描程序和參考數據的用法。

確定為什麼未按預期觸發規則的原因(例如,從CRE刪除的規則,本地或全局狀態計數器)。
第4節:提取信息以定期或臨時分發給輸出的使用者。17%

使用過濾器執行搜索。

執行快速(Lucene)搜索。

執行高級(AQL)搜索。

解釋每種搜索類型(即過濾後的,快速和高級)的不同用途。

在儀表板上解釋時間序列圖。

針對情況選擇合適的標準報告。

創建並生成計劃的和手動的報告。

通過電子郵件分發犯罪詳細信息,共享有關犯罪的調查結果。

討論事件或流的內容,包括規範化的字段。
第5節:識別和升級與QRadar運行狀況和功能有關的問題。
13%

通過匯總QRadar組件(即控制台,事件處理器,事件收集器,流處理器,數據節點和流收集器,應用程序主機)來解釋QRadar架構。

解釋通用系統通知。

說明QRadar屬性索引的影響。

當事件中包含合併的信息時進行區分。

說明未正確解析的事件。

解釋QRadar時間戳(例如,日誌源時間,存儲時間,開始時間)。

定期報告未向QRadar報告的任何代理或日誌源。
相關認證

IBM認證助理分析師-IBM QRadar SIEM V7.3.2

IBM安全性
PartnerWorld代碼:C0003502

Comments

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





*