[2026-02-28更新,103問] 無料Palo Alto Networks XSIAM-Engineer試験問題集、XSIAM-Engineer日本語版対策ガイド(ページ 15)

XSIAM-Engineer 試験問題 66

ある大企業が、レガシーSIEMをPalo Alto Networks XSIAMに移行しています。セキュリティオペレーションセンター（SOC）では現在、独自の脅威インテリジェンスプラットフォーム（TIP）とインシデント対応（IR）チケットシステムを使用しています。目標は、XSIAMへの脅威インテリジェンスの取り込みと、高忠実度アラート用のIRチケット作成を自動化することです。シームレスなデータフローを確保し、アラート疲れを回避するために、XSIAM自動化計画における以下の考慮事項のうち、最も重要なものはどれですか？

A. 自動相関のために、TIP のデータフィールドと XSIAM の共通情報モデル (CIM) 間の包括的なスキーママッピングを定義します。

B. インシデント対応の方が重要なので、TIP よりも IR チケットシステムとの統合を優先します。

C. XSIAM が処理する前に、取り込まれたすべての脅威インテリジェンスに対して毎日の手動レビュープロセスを実装します。

D. XSIAM のネイティブプレイブックを使用する代わりに、個々の脅威インジケーターごとにカスタム Python スクリプトを開発します。

E. XSIAM エンジンの過負荷を回避するために、自動化されたプレイブックの数を制限します。

XSIAM-Engineer 試験問題 67

XSIAM導入計画段階で、重大なセキュリティ上の問題が明らかになりました。組織は多数のLinuxサーバーとネットワークデバイスで、古くパッチ未適用のOpenSSLに大きく依存しているのです。この脆弱性は、安全な通信に重大なリスクをもたらします。XSIAMの観点から、セキュリティチームが推奨すべき最も迅速かつ効果的な対策は何でしょうか？また、XSIAMの「可視性」と「対応」機能は、この特定の脅威のライフサイクル全体にわたる対応においてどのような役割を果たすのでしょうか？

A. 即時アクション: 影響を受けるすべてのシステムに緊急パッチ展開を実行します。XSIAM ロール: パッチ適用後にパッチ未適用のシステムが安全でない OpenSSL 接続を確立しようとした場合にリアルタイムアラートを提供します。また、プレイブックを使用して非準拠システムを自動的に隔離します。

B. 即時対応: 脆弱なシステムをすべてネットワークから隔離します。XSIAM の役割: 脆弱なシステムで侵害が発生した場合にのみ、エクスプロイト後のアクティビティを可視化します。

C. 即時アクション: ネットワークベースの IPS シグネチャを実装して、すべての OpenSSL トラフィックをブロックします。XSIAM ロール: IPS からブロックされたトラフィックログを相関させ、ブロックされた試行に関するレポートを生成します。

D. 即時アクション: インターネットに接続されたすべてのサーバーの前面に一時的な Web アプリケーションファイアウォール (WAF) を展開します。XSIAM ロール: WAF ログを取り込んで Web 攻撃を検出しますが、OpenSSL の脆弱性とは直接関係ありません。

E. 即時対応: 脆弱なシステムに対して侵入テストを実施します。XSIAM の役割: 侵入テストの結果を文書化し、コンプライアンスレポートを生成します。

正解: A

OpenSSL のようなパッチ未適用の重大な脆弱性は、差し迫った深刻なリスクとなります。最も効果的な対策は、パッチを適用して修復することです。XSIAM は、パッチ適用前とパッチ適用後の両方で重要な役割を果たします。パッチ適用前 (可視性): XSIAM 自体は「即時の対策」として明示的には述べていませんが、脆弱性スキャンデータ、エンドポイントテレメトリ (例: 'auditd' ログ、Cortex XDR 経由の 'osquerV データ)、およびネットワークフローデータを取り込む XSIAM の機能は、どのシステムが脆弱であるか (脆弱性管理ソリューションと統合されている場合)、また脆弱性が原因で現在悪用されているシステムがあるかどうかを特定するのに役立ちます。即時の対策 (修復): パッチ適用が直接的な解決策です。パッチ適用後 (可視性と対応): これは XSIAM が真価を発揮するところです。一部のシステムでパッチ適用が失敗したり、脆弱な新しいシステムが導入されたりした場合、XSIAM は Cortex XDR エージェントを介して、これらの脆弱性を悪用する試みを検出したり、非準拠システムを特定したり (例: ホスト検査プロファイルを介して) できます。安全でないOpenSSL接続が試行された場合、XSIAMはアラートをトリガーできます。さらに、XSIAMのSOAR機能（組み込みプレイブック）を使用すると、コンプライアンス違反や検出されたエクスプロイトの試みに対して、影響を受けるエンドポイントの隔離、疑わしいネットワーク接続のブロック、さらなる調査ワークフローのトリガーなど、自動的に対応できます。これは、脅威のライフサイクル全体にわたって、XSIAMが防御、検知、そして自動対応を行う能力を実証しています。

XSIAM-Engineer 試験問題 68

XSIAMテナントが複数のファイアウォールからネットワークフローデータを取り込んでいます。XQLクエリの結果、「destination_port」フィールドには、想定される整数ポート番号（例：22、80、53）ではなく、「SSH」、「HTTP」、「DNS」などの文字列値が含まれる場合があることが判明しました。これは数値集計に支障をきたしています。生のログを見ると、一部のファイアウォールはポート名をエクスポートし、他のファイアウォールはポート番号をエクスポートしていることがわかります。目標は、すべての「destination_port」値を整数ポート番号に正規化し、一般的なサービス名を該当する場合は既知のポート番号にマッピングし、不明な名前は「null」または「null」のままにすることです。この正規化を実現するための最も効果的で保守性の高いXSIAM戦略は何ですか？

A. XSIAM に、一般的なサービス名（例: 'SSH'）とそれぞれのポート番号（例: 22）をマッピングするルックアップテーブルを作成します。次に、XSIAM データソース設定の「正規化ルール」で、条件付きマッピングを使用します。このマッピングでは、まず整数への変換を試み、それが失敗した場合はテーブルに対してルックアップを実行します。それでも見つからない場合は、「null」または

B. 各ファイアウォールデータソースの解析ルールを個別に変更し、「destination_port」内の文字列値をチェックし、対応する整数値に置き換える「if/else」ロジックを追加します。この処理は複雑になり、複数のファイアウォールやサービス名にまたがって管理するのが困難になります。

C. 実行時分析中にサービス名をポート番号に変換するには、'case' ステートメントを含む XQL クエリを使用します。これによりダッシュボードの表示は修正されますが、データの取り込み時に正規化は行われません。

D. すべてのファイアウォール管理者に、ログ設定を標準化し、常に数値ポート値をエクスポートするよう指示してください。これは長期的な解決策としては理想的ですが、XSIAM内での即時の技術的修正ではありません。

E. XSIAM APIを使用してすべてのネットワークフローデータを取得し、文字列を整数に変換してから、変更されたデータを再取得するPythonスクリプトを作成してください。これは非効率的であり、データの重複が発生します。

XSIAM-Engineer 試験問題 69

XSIAMダッシュボードに「カテゴリ別重大度の高いインシデント」が表示されるシナリオを考えてみましょう。SOCマネージャーは、これらの重大度の高いインシデントの「平均確認時間」を担当者チーム別に分類して表示する新しいウィジェットを追加したいと考えています。ダッシュボードウィジェット内でこれを実現するには、どのようなXQL集計およびグループ化関数が必要ですか？

A. オプションA

B. オプションB

C. オプションC

D. オプションD

E. オプションE

XSIAM-Engineer 試験問題 70

重要なXSIAMダッシュボードでは、統合コネクタの健全性、特に過去60分間にデータ送信に失敗したコネクタやエラーを報告しているコネクタを表示する必要があります。ingestion_logsデータセットには、各コネクタのアクティビティに関する記録が含まれており、ステータスフィールド（「SUCCESS」、「FAILURE」、「ERROR」）と最終アクティビティ時刻が含まれます。これらの問題のあるコネクタを特定し、リスト化する必要があります。このリアルタイム監視要件に最も効果的なXQLクエリとダッシュボードウィジェットのタイプはどれでしょうか？