IBM QRadar SIEM V7.3.2 Fundamental Analysis

C1000-018:IBM Security

問題數：60
通過的問題數：38
允許時間：90 分鐘
狀態：直播
測試由 5 個部分組成，共包含大約 60 道選擇題。每個部分標題後面的百分比反映了整個問題集在各部分中的大致分佈。

第 1 部分：監控配置用例的輸出。
15%

執行儀表板自定義。

查看所有可用 QRadar 選項卡（儀表板、日誌活動、網絡活動、資產等）中的輸出。

導航到、離開和進入攻擊。

將違規行為與觸發規則區分開來。

查看安全訪問趨勢和異常情況。

查看 QRadar 檢測到的安全風險和網絡漏洞。

描述不同類型的規則，如行為、事件、流程、常見、攻擊、異常和閾值規則。
第 2 部分：對 QRadar 創建的警報和攻擊進行初步調查。
35%

描述使用犯罪的嚴重程度。

描述 QRadar 網絡層次結構。

在攻擊詳細信息視圖中解釋攻擊詳細信息，為什麼/如何創建它。

確定犯罪的促成事件和/或流程信息。

顯示攻擊生命週期（例如，打開、關閉、已分配、隱藏、受保護）。

舉例說明右鍵單擊功能（即事件過濾、插件、信息、導航、其他）。

分解觸發規則以確定違規的原因。

將潛在威脅與可能的誤報區分開來。

查看參與攻擊的主機的漏洞和威脅評估。

描述安全設備的作用，例如防火牆、IDS/IPS、代理、身份驗證設備、QRadar 支持的防病毒軟件。

執行攻擊管理，例如將攻擊分配給用戶、關閉、保護或隱藏攻擊、添加註釋、發送電子郵件或標記攻擊以進行跟進。

演示如何導出流/事件數據以進行外部分析。

總結標準自定義屬性、用戶自定義屬性和規範化屬性的特點。

概述犯罪結案程序。
第 3 部分：識別不良規則行為並將其上報給管理員。
20%

報告潛在的誤報。

報告規則使用情況和由這些規則生成的攻擊。

向安全管理員報告任何異常的安全訪問趨勢和事件。

根據嚴重性向網絡/安全管理員報告威脅、風險或漏洞。

概述簡單的進攻命名機制。

解釋測試正則表達式的規則。

解釋相關測試和規則的測試順序。

說明規則響應和規則操作（例如限制器）之間的區別。

認識“特殊”構建塊：主機定義、Cat 定義、端口定義。

描述日誌源、流源、漏洞掃描器和參考數據的使用。

確定規則未按預期觸發的原因（例如，從 CRE 中刪除，或本地與全局、有狀態計數器）。
第 4 部分：提取信息以定期或臨時分發給輸出的消費者。
17%

使用過濾器執行搜索。

執行快速 (Lucene) 搜索。

執行高級 (AQL) 搜索。

解釋每種搜索類型（即過濾、快速和高級）的不同用途。

解釋儀表板中的時間序列圖。

根據情況選擇合適的標準報告。

創建和生成計劃和手動報告。

通過電子郵件分發攻擊詳細信息，共享有關攻擊的調查結果。

討論事件或流的內容，包括規範化字段。
第 5 部分：識別和升級與 QRadar 運行狀況和功能有關的問題。
13%

通過總結 QRadar 組件（即控制台、事件處理器、事件收集器、流處理器、數據節點和流收集器、應用程序主機）來解釋 QRadar 架構。

解釋常見的系統通知。

說明 QRadar 屬性索引的影響。

區分事件何時在其中合併了信息。

說明未正確解析的事件。

解釋 QRadar 時間戳（例如，日誌源時間、存儲時間、開始時間）。

報告任何未定期向 QRadar 報告的代理或日誌源。
相關認證

IBM 認證助理分析師 – IBM QRadar SIEM V7.3.2

IBM 安全
PartnerWorld 代碼：C0003502