PAN-OS SD-WAN で動的なパフォーマンスベースのパス ステアリングを実装するには、監視、品質要件の定義、およびパス選択ポリシーの構成が必要です。 - オプション A (正解): パス監視は、ファイアウォールが各 WAN リンクでリアルタイムのパフォーマンス データ (遅延、ジッター、損失) を収集するために不可欠です。このデータは、リンク品質を評価するために使用されます。 - オプション B (正解): SLA しきい値は、特定のアプリケーションの許容品質レベルを定義します。これらのしきい値は、パス監視からのリアルタイム リンク品質データと比較され、リンクが重要なトラフィックを伝送するのに適しているかどうかが判断されます。 - オプション C (正解): パス選択ポリシー ルールは、アプリケーションを転送方法に結び付けます。ERP アプリケーションのルールでは、優先パスが MPLS であることを指定しますが、定義された SLA オブジェクトを条件として含めます。パス監視によって測定された MPLS リンクの品質が SLA しきい値を下回ると、ルールでは MPLS パスが不適格であると見なし、次の優先パス (インターネット リンク) にフェイルオーバーします。 - オプションD（正解）：異なるトラフィックタイプに対する転送動作を定義するには、個別のパス選択ポリシールールが必要です。重要度の低いトラフィックには、主にインターネットリンクに転送するルールが適用され、厳格なSLA要件は適用されない可能性があります。 - オプションE（不正解）：PBFはトラフィックを誘導できますが、PAN-OS SD-WANは、App-ID、パス監視、SLAを活用した、アプリケーション対応のパフォーマンスベースルーティングのための、より統合された動的なメカニズムを提供します。このユースケースでは、PAN-OS SD-WANは静的PBFよりも優れています。

IoT セキュリティによって検出された動作異常は、アラートとポリシー適用のために統合されます。 - オプション A (正解): 動作異常は通常、特定のイベント タイプとしてログに記録され、多くの場合、関連する重大度を持つ脅威またはシステム イベントとして分類され、調査のために NGFW/Panorama/CDL ログに表示されます。 - オプション B (不正解): クラウド サービスは、ファイアウォールのセキュリティ ポリシーを自動的に変更しません。ポリシーの変更は管理者が管理します。 - オプション C (正解): 重大度の高い異常が検出されると、デバイスは、高リスク デバイスを表す動的デバイス グループに自動的に分類される可能性があります。管理者は、セキュリティ ポリシーでこのグループを活用して、再分類時に自動的にそのようなデバイスからのトラフィックを分離または制限できます。 - オプション D: アラートが生成されますが、ポリシー統合による自動アクション (A および C で説明) は可能であり、意図されています。 - オプション E:

脅威対策プロファイルでは、「ルール」タブまたは「ルールの詳細」セクションで、脅威の重大度に応じたアクションを設定できます。これらのアクションでは、特定の重大度レベルのシグネチャが一致した場合にファイアウォールがどのように対応するか（許可、警告、リセット、ブロック）を定義します。オプションAは特定のシグネチャを除外するためのものです。オプションCは、個々のシグネチャを表示または管理するためのものです（実際にはあまり一般的ではありません）。オプションDは、特定の条件下で特定の脅威に対する例外を作成するためのものです。オプションEには、パケットキャプチャオプションなどのその他の設定が含まれています。

IoT セキュリティのプロファイリングは、主にファイアウォールによって観測されたトラフィック メタデータの分析に基づいています。 - オプション A: すべての IoT トラフィックの完全なパケット キャプチャを送信すると、リソースが大量に消費されるため、プロファイリングには不要です。 - オプション B (正解): ファイアウォールは、IoT デバイスから発信または IoT デバイス宛てのトラフィック フローに関するメタデータを送信します。これには、IP アドレス、ポート、識別されたアプリケーション、プロトコル、観測された動作パターン (接続頻度、宛先など) などの情報が含まれます。このメタデータは、IoT セキュリティ クラウド サービスがデバイスのフィンガープリントを作成して動作を識別するために分析するものです。 - オプション C: 機密データ コンテンツの検出は DLP の機能であり、IoT デバイスのプロファイリングに送信される主要な情報ではありません。 - オプション D: 構成ファイルは、デバイスのプロファイリング用に送信されません。 - オプション E: IoT セキュリティはエージェントレスであり、デバイス自体からプロセスやファイル システムなどの詳細なエンドポイント情報を収集しません。

暗号化されたSSHトンネル内で発生するコンテンツやアクティビティ（脅威シグネチャをトリガーする可能性のあるファイル転送やコマンド実行など）を検査するには、ファイアウォールがトンネルを復号化できる必要があります。これがSSHプロキシ機能の役割です。復号化されると、App-IDはSSHセッション内の「ファイル転送」などのアクティビティを識別でき、Content-ID/脅威対策エンジンはデータストリームをスキャンして脅威を検出できます。オプションAは、トラフィックが復号化されている場合にマルウェアを検出するために必要ですが、復号化は前提条件です。オプションCは、SSHを介したファイル転送の仕組みを説明していますが、ファイアウォールが暗号化トンネル内でファイル転送をどのように認識するかについては説明していません。オプションDは、SSL/TLSの一部である証明書の検証に関するもので、SSHプロキシで使用されるホストキー検証プロセスとは関係ありません。オプションEは誤りです。SSHプロキシは、最新の安全なSSHプロトコルバージョン（v2など）向けに設計されています。SSHv1は非推奨で安全ではなく、高度な検査には対応していない可能性があります。