Premium GlobalProtectには、ホスト情報プロファイル（HIP）機能が含まれています。HIPを使用すると、エンドポイント上のGlobalProtectエージェントは、デバイスのセキュリティ体制に関する詳細情報（OSバージョン、パッチのステータス、インストール済みおよび更新済みのウイルス対策ソフトウェア、ディスク暗号化のステータス、実行中のプロセスなど）を収集できます。この情報はGlobalProtectゲートウェイ（NGFWまたはPrisma Access上）に送信され、設定されたHIPオブジェクトおよびプロファイルと照合されて評価されます。その後、これらの情報はセキュリティポリシールールの基準として使用され、コンプライアンスに基づいてアクセスを許可または拒否できます。オプションA（ユーザーID）はユーザーを識別します。オプションC（アプリケーションID）はアプリケーションを識別します。オプションD（Cortex XDR）はエンドポイントの検出と対応を提供します。オプションE（データフィルタリング）は、コンテンツ内の機密データを検査します。

Advanced Threat Prevention サブスクリプションは、主に脆弱性保護とスパイウェア対策のセキュリティプロファイルの機能を強化します。脆弱性保護は、ソフトウェアの脆弱性を悪用する試みを検出し、ブロックすることに重点を置いています。スパイウェア対策は、スパイウェアやコマンドアンドコントロール (C2) 通信に関連するトラフィックパターンを検出し、ブロックすることに重点を置いています。オプション A はマルウェアファイルを検出します。オプション B は URL をブロックします。オプション D はファイルの種類を制御します。オプション E はデータ漏洩を防止します。

Device-IDの中核機能は、観測可能なネットワーク属性に基づくパッシブなデバイスプロファイリングです。オプションAは手動で行う必要があり、スケーラブルでも動的でもありません。オプションBは、デバイス識別に使用されるパッシブな手法について正しく説明しています。オプションCは資産情報の統合方法としては有効ですが、リアルタイムのDevice-ID分類の主要なメカニズムではありません。オプションDはGlobalProtect HIPやCortex XDRなどのエージェントベースのソリューション向けですが、Device-ID自体はエージェントレスです。オプションEは、デバイスの種類を識別するのではなく、人間をマッピングするUser-IDです。

ゼロ トラストは、ネットワークの場所に基づく暗黙の信頼からの脱却を図っています。Palo Alto Networks の機能により、明示的な検証と詳細な検査が可能になります。 - オプション A (正解): App-ID により、トラフィック (アプリケーション) に基づいてポリシーを設定できるため、アプリケーションの ID が明示的に検証され、ポートベースの信頼を超えています。 - オプション B (正解): User-ID と Device-ID により、トラフィックの開始者と使用デバイスが検証され、明示的な検証の中核となる原則であるユーザーとデバイスの ID およびポスチャにポリシーが直接結び付けられます。 - オプション C (正解): Content-ID 機能は、マルウェア、エクスプロイト、機密データ、悪意のある URL について、認識された脅威だけでなく、関連するすべての許可されたトラフィックを検査することで、「侵害を想定」の原則を具体化しています。これは、正当なアプリケーション内にも脅威が存在する可能性があることを前提としています。 - オプション D暗号化されたトラフィックに App-ID (より正確には) と Content-ID を適用し、このトラフィックに対して「明示的に検証」および「侵害を想定」の原則を有効にするには、復号化が必要です。 - オプション E (不正解): セキュリティ ゾーンはネットワークのセグメント化とポリシー構造の基礎ですが、主にセグメント ベースのアプローチと一致しています。セグメント ベースのアプローチは構成要素ですが、他のオプションと比較すると、現代のゼロ トラストの中核となる ID 認識、アプリケーション認識、コンテンツ検査の原則を直接的に表すものではありません。

SSL 受信検査のトラブルシューティングには、多くの場合、証明書の問題、復号化機能、およびクライアント/サーバーの動作との互換性の調査が含まれます。 - オプション A (正解): ファイアウォールにインポートされた秘密鍵がサーバーで使用されている公開鍵ペアと一致しない場合、ファイアウォールは対称セッション鍵を復号化できず、復号化に失敗します。 - オプション B (正解): 復号化プロファイルは、復号化エラーが発生した場合のファイアウォールのアクションを指定します。「ブロック」に設定すると、復号化プロセスでエラーが発生すると (鍵の不一致、サポートされていないパラメータ、ハンドシェイクのエラーなど、さまざまな理由により)、接続がリセットまたは切断され、パートナー接続エラーが発生します。 - オプション C (正解): 他のセキュリティ デバイスと同様に、Palo Alto Networks ファイアウォールでは、効果的に復号化できる SSL/TLS のバージョン、暗号スイート、および鍵交換方法に制限があります。 - オプション D (正解): SSL インバウンド インスペクションは、プロキシとして機能することで、クライアント側の証明書認証 (相互認証) を妨げる可能性があります。ファイアウォールはクライアントとサーバーの間に配置されます。サーバーはクライアントが証明書を提示することを期待しますが、セッションを容易にするファイアウォールは、特別な処理 (多くの場合、このようなトラフィックを復号化から除外するか、使用可能な場合は特定のアプリケーション プロキシ構成を使用する) を行わない限り、このプロセスを妨害する可能性があります。 - オプション E (不正解): 復号化ポリシーの評価は、セキュリティ ポリシーの評価とはほとんど関係なく行われますが、結果 (復号化されるかどうか) は、後続のセキュリティ プロファイルの適用に影響します。セキュリティ ルールで復号化なしのトラフィックを許可しても、復号化を行うかどうかを決定するために復号化ルールが最初に評価されることを妨げることはできません。復号化におけるポリシーの順序に関する主な問題は、通常、復号化ポリシー自体の中で除外ルールを包含ルールの前に配置する必要があることです。