Estudos Microsoft LEarn Flashcards

Question 1

Q

Explique as Regras de automação no Microsoft Sentinel

Answer

A

Automatizam respostas para várias análises de uma só vez. Podendo marcar, atribuir ou fechar aotomaticamente incidentes sem precisar dos guias estratégicos (playbooks).

Question 2

Q

Explique os guias estratégicos (playbooks) no microsoft sentinel

Answer

A

éum grupo/ coleção das regras de automação. São várias regras em conjunto que são executadas de forma automatizadas em resposta a um alerta ou inficente específico.

Depois de ocnstruída pode ser usada de forma manual.

E se baseiam em fluxos de trabalhos criados nos aplicativos lógicos do azure (Azure Logic Apps), serviço de núvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa.

Question 3

Q

Quando criar uma regra de automação na folha de automação

Answer

A

Quando precisar de uma regra de automação que será aplicada a várias regras de análise, ela deve ser criada na folha de automação.

Question 4

Q

Quando criar uma regra de automação na folha de incidentes

Answer

A

Na folha de incidentes normalmente criamos uma regra de automação para incidentes recorrentes. É útil ao criar uma regra de supressão (fechamento) para fechar automaticamente incidentes “com ruido”

Question 5

Q

Quais são os componentes de uma regra de automação

Answer

A

Gatilho
Conditions
Ações
Data de Validade
Pedido

Question 6

Q

Dentro dos componentes de uma regra de automação, existem as ações que podem ser executadas quando as conditions são satisfeitas. Quais são essas ações?

Answer

A

Alterar o status de um incidente;

Alterar a severidade de um incidente;

Atribuir um incidente a um proprietário;

Adicionar uma marca a um incidente;

Executar um guia estratégico (playbooks)

Question 7

Q

As regras de automação são disparadas por?

Incidentes

Conectores

Watchlists

Answer

A

Incidentes

Question 8

Q

Você usa Aplicativos Lógicos para criar um(a)?

Regra de automação

Manual

Pasta de trabalho

Question 9

Q

Uma ação de regra de automação pode?

Atualizar o título do incidente

Excluir o incidente

Alterar o status do incidente

Answer

A

Alterar o status do incidente

Question 10

Q

O ASIM ( Modelo de Informações de SEgurança Avançado) proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo diversas funcionalidades.

Quais são essas funcionalidades?

Answer

A

Detecção entre fontes;

Conteúdo independente da fonte;

suporte para as fontes personalizadas;

Facilidade de uso.

Question 11

Q

Quando implatar um analisardor ASIM interno e quando implantar um analisador no espaço de trabalho?

Answer

A

Internamente usamos na maioria dos casos que precisamos de analisadores ASIM.

no espaço de trabalho usamos ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis.

Question 12

Q

Quais são os dois níveis de analisadores ASIM? E quais são seus respectivos nomes?

Answer

A

O ASIM inclui dois níves de analisadores: analisador unificador e analisadores específicos de origem.

o nome do analisador unificador é _IM_Schema para analisadores internos e imSchema para analisadores implantados no workspace. Schema é o esquema específico que ele atende.

Os analisadores específicos da origem também podem ser chamados de maneira independente. Ex: VimDnsInfobloxNIOS

Question 13

Q

qual é a funçao do analisador unificado e do analisador específico de origem?

Answer

A

O analisador específico de origem garante que todos os dados relevantes para o esquema são consultados. Depois o analisador específico chama os analisadores específicos de origem para executar a análise e a normalização reais, que é específica para cada fonte.

Question 14

Q

Com o trabalho de otimização de consulta e de fultragem previa, os analisadores ASIM geralmente têm melhor desempenho do que não usar a normalização?

Verdadeiro ou falso?

Answer

A

Verdadeiro.

Utilizar filtro com parâmetros antes de iniciar a consulta e a normalização melhoram o desempenho das consultas.

Question 15

Q

Os usuários do ASIM usam nomes de tabelas ou analisadores unificados em suas consultas?

Answer

A

analisadores unificados

Question 16

Q

Dê dois exemplos de situações que um usuário ASIM precisará criar uma analisador específico de origem.

Answer

A

1 - Quando o dispositivo fornece eventos que se ajustam a um esquema de ASIM, mas um analisador específico de origem para o dispositivo e o esquema relevante não estão disponíveis no Microsoft Sentinel.

2- Quando os analisadores específicos da fonte do ASIM estão disponíveis para seu dispositivo, mas seu dispositivo envia eventos em um método ou formato diferente do esperado pelos analisadores do ASIM.

Question 17

Q

Para desenvolver um analisador personalizado precisamos seguir até 8 passos a depender do caso, quais são eles?

Answer

A

Coletar logs de exemplo;
Identifique o esquema ou esquemas que os eventos enviados da fonte representam;
Mapeie os campos de evento de origem para o esquema ou esquemas identificados;
Desenvolva um ou mais analisadores ASIM para sua fonte. Você precisará desenvolver um analisador de filtragem e um analisador sem parâmetros para cada esquema relevante para a fonte;

5.Teste seu analisador;

Implante os analisadores nos workspaces do Microsoft Sentinel;
Atualize o analisador de unificação do ASIM relevante para referenciar o novo analisador personalizado;
Talvez você também queira contribuir com seus analisadores para a distribuição promária do ASIM. Os analisadores colaboradores também podem ser disponibilizados em todos os espaos de trabalho como analisadores internos.

Question 18

Q

na criação de analisadores personalizados a priemira tarefa a ser executada é a coleta de logs de exemplo. Um conjunto representativo de logs deve incluir 3 características, quais são elas?

Answer

A

Eventos com resultados de eventos diferentes;

-Eventos com diferentes ações de resposta;

-Formatos diferentes para nome de usuário, nome de host e IDs e outros campos que exigem normalização de valor.

Question 19

Q

Verdadeiro ou Falso:

Um analisador persolalizado é uma consulta KQL desenvolvina na página Logs do Microsoft Sentinel.

Answer

A

Verdadeiro.

Question 20

Q

Verdadeiro ou Falso:

Ao criar uma consulta KQL,
um analisador deve primeiro filtrar um evento relevante para o esquema de destino?

Answer

A

Falso.

Um analisador deve primeiro filtrar somente os registros relevantes para o esquema de destino. Porque uma tabela pode ter várias fontes de dados e Ainda que uma tabela forneca dados de uma única fonte de dados, ela pode conter vários / diferentes tipos de eventos. e precisamos definir o evento/ registro para usar o analisador.

Question 21

Q

Qual operador usamos para a filtragem em KQL?

Question 22

Q

Um analisador deve filtrar por tempo?

Answer

A

Não. Um analisador não deve filtrar por tempo. A consulta que usa o analisador aplicará um intervalo de tempo.

Question 23

Q

Quando devemos fazer uma filtragem por tipo de origem usando uma watchlist?

Answer

A

Quando o próprio evento não contém informações que permitiriam a filtragem por tipos de origem específicos.

Question 24

Q

Usamos a watchlist “ASimSourceType” é uma lista de origens que definem eventos relevantes.

Dê um explo de situação onde usamos essa whatchlist para filtragem por tipo de origem.

Answer

A

Quando os eventos do DNS do infoblox são enviados como mensagens do Syslog e são difíceis de distinguir das mensagens do Syslog enviadas de outras fontes.

Question 25

Q

A Microsoft fornece duas recomendações para otimizar a filtragem das consultas com analisadores. Quais são elas?

Answer

A

Sempre filtre por campos integrados em vez de analisados.
Use operadores que forneçam desempenho otimizado, em particular, ==, has e startswith.

Question 26

Q

Como usar a função iff e case para mapear alguns valores?

Answer

A

iff/case( condição1 and condição2 (opcional), “retorno caso verdadeiro, pode ser string int”, “retorno caso falso”)

Exemplo:
Nesse exemplo adicionamos mais uma coluna com o comando extend:

extend EventResult = iff(EventId==257 and ResponseCode==0 ,’Success’,’Failure’)

Question 27

Q

dê um exemplo de uso da função datatable em uma consulta KQL.

Answer

A

let NetworkProtocolLookup = datatable(Proto:real, NetworkProtocol:string)[
6, ‘TCP’,
17, ‘UDP’
];

Question 28

Q

Qual a diferença entre a função iff e case?

Answer

A

a função iff dá a possiblidade de usarmos duas condições para mapear.
EX.:
| extend EventResult =
iff(EventId==257 and ResponseCode==0,’Success’,’Failure’)

A função case dá suporte a mais de dois valores de condição.
EX. :
| extend DnsResponseCodeName =
case (
DnsResponseCodeName != “”, DnsResponseCodeName,
DnsResponseCode between (3841 .. 4095), ‘Reserved for Private Use’,
‘Unassigned’
)

Question 29

Q

Quais são os operadores que usamos para preparar campos no conjunto de resultados de uma consulta KQL com analisadores?

Answer

A

project-rename;
project;away;
project;
extend.

Question 30

Q

Qual a função do operador project-rename?

Answer

A

Renomeia campos;

Question 31

Q

Qual a função do operador project-away?

Answer

A

Remove campos da consulta.

Question 32

Q

QUal a função do operador project?

Answer

A

Seleciona os campos que exeistiam antes ou que foram criados como parte da instrução e remove todos os outros campos.

Obs.: Se você precisar remover campos específicos, como valores temporários usados durante a análise, use project-away para removê-los dos resultados.

Obs2: Não recomendado para uso em um analisador, porque ele não removerá os outros campos que não estiverem normalizados.

Question 33

Q

Verdadeiro ou falso:

As DCRs (Regras de COleta de dados) fornecem um pipeline do tipo ETL.

Answer

A

Verdadeiro.

Ao definir uma DCRs ( Regra de Coleta de Dados) podemos definir como a coleta / extração ocorrerá, podemos definir tratamentos e filtrafens e podemos definir onde elas serão carregadas.

Question 34

Q

Ao criar um DCR de transformação do workspace. Qual é o nome da tabela virtual a ser consultada?

source

input

destino

Question 35

Q

O que é um analisador ASIM no KQL?

Variável

Função

Agregado

Question 36

Q

Todos os esquemas que dão suporte a parâmetros de filtragem dão suporte no mínimo ao parâmetro?

createdon

ingestiontime

starttime

Answer

A

Starttime

Question 37

Q

Verdadeiro ou falso:

O workspace do Log Analytics é um repositório que armazena dados e informaçÕes de configuraçÕes.

Answer

A

Verdadeiro

Question 38

Q

Um administrador quer abrir uma consulta salva anteriormente. Após abrir a página de Logs no Microsoft Sentinel, qual das opções a seguir o administrador deve selecionar?

Consultas

Gerenciador de consultas

Painel Tabelas

Answer

A

GErenciador de consultas.

O link GErenciador de COnsultas no cabeçalho da página ajuda você a acessar suas consultas salvas. Esse link está mais acima. Mais abaixo encontramos lado a lado tabela, consultas e funções.

Question 39

Q

O administrador quer criar uma regra de análise com base na consulta criada. Qual opção do painel de consultas ele deve selecionar?

Alerta do Azure Monitor

Alerta do Microsoft Sentinel

Copiar link

Answer

A

alerta do Microsoft SEntinel.

Um novo alerta do Microsoft Sentinel cria uma regra de análise.

Question 40

Q

Normalmente em uma consulta KQL na primeira linha o que colocamos?

Answer

A

na primeira linha colocamos o nome da tabela ou comando de pesquisa.

Question 41

Q

QUal a função do caractere barra vertical “|”

Answer

A

Separar comandos. A saída do primeiro comando se torna a entrada do comando seguinte.

Question 42

Q

função do operador “count”

Answer

A

Retorna a contagem de linhas na tabela

Question 43

Q

função do operador “Take”

Answer

A

retorna até o número especificado de linhas de dados

Question 44

Q

função do operador “project”

Answer

A

seleciona um subconjunto de colunas.

Question 45

Q

função do operador “sort”

Answer

A

classifica as linhas da tabela de entrada em ordem por uma ou mais colunas

Question 46

Q

função do operador “top”

Answer

A

retorna os N primeiros registros classificados de acordo com as colunas especificadas.

Question 47

Q

função do operador “extend”

Answer

A

cria colunas calculadas

Question 48

Q

função do operador “summariza”

Answer

A

agrega grupos de linhas

Question 49

Q

função do operador “render”

Answer

A

renderiza os resultados como uma saída gráfica.

Question 50

Q

função do operador “join”

Answer

A

combina os registros de duas funtos (tabelas)

Question 51

Q

função do operador “union”

Answer

A

combina duas ou mais tabelas em uma

Question 52

Q

Qual das ferramentas a seguir um administrador pode usar para consultar dados no Microsoft Sentinel?

SQL (Structured Query Language)

PowerShell

Azure Data Explorer

Answer

A

Azure Data Explorer

Question 53

Q

. Qual dos caracteres a seguir um administrador pode usar para separar os comandos na consulta?

Barra vertical (|)

Hífen (-)

Sublinhado (_)

Answer

A

Barra vertical (|)

Question 54

Q

Qual dos seguintes elementos não pode fazer parte da pasta de trabalho?

Gráficos

Tabelas

vídeos

Answer

A

Vídeos. Uma pasta de trabalho não pode conter vídeos

Question 55

Q

. Em qual seção da pasta de trabalho de logs de entrada do Microsoft Entra o administrador pode encontrar informações indicando se os usuários precisam executar a MFA (autenticação multifator) para validar sua identidade?

Local da Entrada

Status do acesso condicional

Entradas por Dispositivo.

Answer

A

status de acesso condicional

A tabela Status do Acesso Condicional mostra quais usuários precisam a executar MFA para validar a identidade.

Question 56

Q

Qual formatação o Microsoft Sentinel usa para formatar o texto na pasta de trabalho com visualização de texto?

Microsoft Word

Formatação de texto HTML

Markdown

Answer

A

markdown

O texto é editado por meio de uma formatação de Markdown, que fornece diferentes estilos de título e fonte, hiperlinks, tabelas.

Question 57

Q

Um administrador cria uma pasta de trabalho personalizada e deseja exibir os dados em uma tabela. Quais etapas de visualização ele deve usar na pasta de trabalho?

Visualização de texto

Links/guias

Visualização de grade

Answer

A

visualização de grade

Você pode usar a visualização de grades para apresentar os dados em tabelas.

Question 58

Q

qual a função do operador “summarize” e ele é usado sozinho?

Answer

A

Summariza agrupa as linhas da tabela e ele deve ser usado com outras funções (count(), avg(),…)

Ex.:
| summarize count() by Process, Computer

Question 59

Q

QUal a descrição da função arg_max() e arg_min()?

Answer

A

elas retornam a linha mais recente e mais antiga da tabela respectivamente.

Question 60

Q

Qual a descrição das funções make_?
como por exemplo a make_list() e make_set()

Answer

A

As funções make retornam uma matris dinâmica (json) com base no propósito da função especificada,

Question 61

Q

Quais são as visualizaçÕes que afunção render dá suporte?

Answer

A

areachart
barchart
columnchart
piechart
scatterchart
timechart

Question 62

Q

Descrição da função bin()?

Answer

A

arredonda os valores para um múltiplo inteiro do tamanho do compartimento fornecido. Usado frequentemente em combinaçÕes com o summarise.

Question 63

Q

A função dcount() realiza qual das opções a seguir?

Retorna uma contagem de dias na diferença de expressão fornecida para a função.

Retorna uma contagem de diferença na expressão fornecida para a função.

Retorna uma contagem distinta na expressão fornecida para a função.

Answer

A

Retorna uma contagem distinta na expressão fornecida para a função.

dcount fornece uma contagem distinta.

Question 64

Q

A função arg_max() realiza qual das opções a seguir?

Retorna o valor máximo de cada coluna passada para a função.

Retorna um matriz JSON com os valores máximos de cada coluna passados para a função.

Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.

Answer

A

Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.

A função arg_max retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.

Answer 61

A

timechart

Bin() arredondará valores para um inteiro múltiplo do tamanho de compartimento fornecido. O timechart exibe uma série temporal com base no tamanho do compartimento.

Answer 62

A

Verdadeiro

Answer 63

A

Eles permitem que o buscador salve os resultados da consulta para referência posterior.

Answer 64

A

Verdadeiro

Answer 65

A

TEstar novas consultas em eventos ao vivo.

GErar notificaçÕes de ameaças

Iniciar Investigações

Answer 66

A

Falso.

As consultas de transmissão ao vivo são executadas continuamente no ambiente dinâmico. Portanto, não é possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.

Answer 67

A

Verdadeiro.

Você pode elevar eventos de uma sessão de transmissão ao vivo para um alerta selecionando os eventos e, em seguida, selecionando Elevar para alertar na barra de ocmandos.

Answer 68

A

verdadeiro

Answer 69

A

Parâmetros de tempo

Os parâmetros de tempo não podem ser usados, pois as consultas de transmissão ao vivo são executadas continuamente.

Answer 70

A

Verdadeiro

Answer 71

A

Um guia estratégico (Playbooks) do Microsoft Sentinel é uma coleção de procesimentos de segurança que você pode executar em resposta a alertas.

Answer 72

A

Verdadeiro

Answer 73

A

Verdadeiro

Answer 74

A

Um gatilho é um evento que ocorre quanto um conjunto específico de confiçÕes for atendido. São ativados automaticamente.

Answer 75

A

Verdadeiro

Answer 76

A

Falso.

Podem ser executados manualmente em resposta `investigação de um incidente ou pode configurar um alerta para executar um guia estratégico ( playbook) automaticamente.

Answer 77

A

Verdadeiro

Answer 78

A

Falso.

Não são. O conectro de dados do Microsoft Sentinel conecta o SEntinel aos produtos de segurança Microsoft e aos ecossistemas de segurança para soluçÕes que não são da Microsoft.

Um conector dos APlicativos Lógicos da Azure é um componente que fornece uma conexão de API para um serviço externo e permite a integração de eventos, dados e açÕes entre outros aplicativos, serviços, sistemas, protocolos e Plataformas.

Answer 79

A

Uma ação é uma operação que executa uma tarefa no fluxo de trabalho dos Aplicativos Lógicos do Azure. Ações são executadas quando um gatilho é ativado, quando outra ação é concluída ou quando uma condição é satisfeita.

Answer 80

A

Conector do Microsoft Sentinel
Os guias

estratégicos do Microsoft Sentinel usam um conector de Aplicativos Lógicos do Microsoft Sentinel para disparar ações de aplicativos lógicos.

Answer 81

A

Coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta.

Os guias estratégicos do Microsoft Sentinel contêm ação de aplicativos lógicos que são coleções de procedimentos executados em resposta a um alerta

Answer 82

A

Quando uma resposta a um alerta do Microsoft Sentinel é disprada

Quando a regra de criação de incidentes do Microsoft SEntinel é disparada

Answer 83

A

Lista de entradas dinâmicas para a ação atual.

O Conteúdo Dinâmico exibe todas as saídas disponíveis da etapa anterior, que você pode usar como entradas para a ação atual.

Answer 84

A

Conector do Microsoft Sentinel.

Os guias estratégicos do Microsoft Sentinel são iniciados com um gatilho do Conector do Microsoft Sentinel.

Answer 85

A

Nome do incidente

Sim. Ao selecionar o nome do incidente, você pode iniciar o processo para executar um guia estratégico sob demanda em resposta a um incidente existente.

Answer 86

A

Repositório do Microsoft Sentinel no GitHub

O repositório do Microsoft Sentinel no GitHub contém detecções prontas para uso, consultas de exploração, consultas de busca, pastas de trabalho e guias estratégicos para ajudar você a proteger seu ambiente e a buscar ameaças.

Brainscape's Knowledge GenomeTM

Estudos Microsoft LEarn Flashcards

Brainscape's Knowledge Genome^TM