新たな IoT の脆弱性に迅速に対応するには、動的インベントリとポリシー適用機能を活用する必要があります。 - オプション A (正解): IoT セキュリティ プラットフォームは、脆弱なデバイスを識別し、それに応じて動的デバイス グループを更新します。このグループが、ポリシーの対象を絞るための鍵となります。 - オプション B (正解): 脆弱なカメラを識別する動的デバイス グループをソース基準として使用するセキュリティ ポリシー ルールを NGFW 上に作成します。これにより、影響を受けるデバイスにポリシーが正確に適用されます。 - オプション C (正解): すべての通信を制限するには、この対象を絞ったルールのアクションは、「任意の」アプリケーションから「任意の」宛先への通信を「拒否」または「ドロップ」にする必要があります。 - オプション D (正解): 標準的なポリシー ルールの評価はトップダウンです。脆弱なデバイスがブロックされるようにするには、対象を絞った「拒否」ルールを、ポリシー リスト内でより広範な「許可」ルール (カメラがインターネットや他の内部セグメントと通信できるようにするなど) よりも上位に配置する必要があります。 - オプション E通常、 IoT デバイス自体のネットワーク設定を直接再構成したり無効にしたりする機能はありません。

CDL で分散環境全体の脅威を分析するには、正しいログ タイプにアクセスし、フィルタリングし、関連する詳細を表示し、他のログと相関させる必要があります。 - オプション A (正解): 脅威ログは、検出された脅威に関する情報のソースです。 - オプション B (正解): 重大度でフィルタリングすると、最も重要なイベントに集中できます。 - オプション C (正解): 脅威カテゴリでフィルタリングすると、調査を特定の種類の脅威に絞り込むことができます。 - オプション D (正解): ログ ビュー (またはレポート) に関連する列を含めると、ソース、宛先、および特定の脅威に関する必要なコンテキストが提供されます。 - オプション E (正解): 脅威ログには重要な脅威の詳細が含まれていますが、それらをトラフィック ログと相関させる (セッション ID を使用) と、脅威が発生したセッションの全体像 (どのアプリケーションが使用されていたか、どのポリシー ルールにヒットしたかなど) が得られ、完全な調査に不可欠です。 - オプション F

Prisma SD-WAN では、SD-WAN 機能自体に関連する特定のログ タイプが導入されています。 - オプション A: トラフィック ログには、セキュリティ ポリシー アクションと基本的なセッション情報が表示されますが、通常、ログ エントリ自体には詳細なパス選択情報は提供されません。 - オプション B: パス監視ビューはありますが、「パス監視ログ」は、フローごとのパス トラバーサルの詳細を示す個別のログ タイプとして標準的な用語ではありません。 - オプション C (正解): SD-WAN フロー ログ (コンソールのビューやバージョンによっては同様の用語が使用されることもありますが、概念的には SD-WAN パスの詳細をキャプチャする「フロー」ログ) は、アプリケーション フローが SD-WAN ファブリック全体でどのパスをたどったかをキャプチャするログです。これには、その時点でのリンクのリアルタイム パス品質メトリック (遅延、ジッター、損失) や、セッション ライフサイクル中に発生したパスの変更が含まれます。これは、標準のセキュリティ重視のトラフィック ログとは異なります。 - オプション D: システム ログは、アプライアンスの健全性に関するものです。 - オプション E: トンネル ログにはトンネルの状態 (アップ/ダウン) が表示されますが、フローごとのパスの選択決定は表示されません。

Palo Alto Networks ファイアウォールおよび Prisma Access は、HIP 関連イベントに特定のログ タイプを生成します。 - オプション A: トラフィック ログにはセッションの詳細が含まれますが、完全な詳細な HIP データ レポートは含まれません。 - オプション B (正解): HIP 一致ログ (または HIP ログ) は、HIP プロファイルが一致したとき、または HIP データがエージェントによって報告されたときに特に生成されます。これらのログには、HIP 評価結果 (どの HIP プロファイルが一致したか) の概要が含まれ、多くの場合、その特定のログ エントリに関連付けられている詳細な HIP レポート (エンドポイントから収集された生データ) を表示するためのリンクまたは機能が含まれます。 - オプション C: 監視タブにはトンネル ステータスと基本的なセッション情報が表示される場合がありますが、通常、セッション ビュー自体には詳細な HIP レポート データは表示されません。 - オプション D: システム ログは操作イベントを追跡します。 - オプション E:

ブランチ内の内部セグメント間のトラフィック (東西トラフィック) のセキュリティ保護は、ION のゾーンベース ファイアウォールの主な使用例です。 - オプション A (正解): 基本的なステップは、分離および制御する必要がある内部セグメントごとに個別のセキュリティ ゾーンを定義することです。これにより、信頼境界が確立されます。 - オプション B (正解): これらの内部ゾーン間のトラフィック フローを制御するには、送信元ゾーンと宛先ゾーンをそれぞれの内部ゾーンとして指定する、明示的なセキュリティ ポリシー ルールを作成する必要があります。これらのルールは、これらのセグメント間で許可または拒否されるアプリケーション/サービスを決定します。 - オプション C (不正解): デフォルトのゾーン間デフォルト ルールは「拒否」です。これを「許可」に変更すると、セグメンテーションの目的が損なわれ、異なるゾーン間のすべてのトラフィックがデフォルトで許可され、非常に安全性が低くなります。 - オプション D (正解): 強化のために、信頼できるように見える内部トラフィックでも脅威 (マルウェアの横方向の移動など) を運ぶ可能性があります。内部ゾーン間の許可ルールにセキュリティ プロファイル (脅威防止、ウイルス対策、データ フィルタリングなど) を適用すると、横方向に伝播する脅威に対する詳細な検査と保護が実現します。 - オプション E (誤り): スイッチ上の基本的な ACL のみに依存すると、L3/L4 フィルタリングが制限され、最新のセキュリティに必要な ION のゾーンベース NGFW の App-ID、User-ID、および高度な Content-ID 検査機能が完全にバイパスされます。