Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

SC-200 Microsoft Certification > Estudos Microsoft LEarn > Flashcards

Estudos Microsoft LEarn Flashcards

1
Q

Explique as Regras de automação no Microsoft Sentinel

A

Automatizam respostas para várias análises de uma só vez. Podendo marcar, atribuir ou fechar aotomaticamente incidentes sem precisar dos guias estratégicos (playbooks).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Explique os guias estratégicos (playbooks) no microsoft sentinel

A

éum grupo/ coleção das regras de automação. São várias regras em conjunto que são executadas de forma automatizadas em resposta a um alerta ou inficente específico.

Depois de ocnstruída pode ser usada de forma manual.

E se baseiam em fluxos de trabalhos criados nos aplicativos lógicos do azure (Azure Logic Apps), serviço de núvem que ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre os sistemas de toda a empresa.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Quando criar uma regra de automação na folha de automação

A

Quando precisar de uma regra de automação que será aplicada a várias regras de análise, ela deve ser criada na folha de automação.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Quando criar uma regra de automação na folha de incidentes

A

Na folha de incidentes normalmente criamos uma regra de automação para incidentes recorrentes. É útil ao criar uma regra de supressão (fechamento) para fechar automaticamente incidentes “com ruido”

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Quais são os componentes de uma regra de automação

A

Gatilho
Conditions
Ações
Data de Validade
Pedido

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Dentro dos componentes de uma regra de automação, existem as ações que podem ser executadas quando as conditions são satisfeitas. Quais são essas ações?

A

Alterar o status de um incidente;

Alterar a severidade de um incidente;

Atribuir um incidente a um proprietário;

Adicionar uma marca a um incidente;

Executar um guia estratégico (playbooks)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q
  1. As regras de automação são disparadas por?

Incidentes

Conectores

Watchlists

A

Incidentes

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q
  1. Você usa Aplicativos Lógicos para criar um(a)?

Regra de automação

Manual

Pasta de trabalho

A

Manual

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q
  1. Uma ação de regra de automação pode?

Atualizar o título do incidente

Excluir o incidente

Alterar o status do incidente

A

Alterar o status do incidente

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

O ASIM ( Modelo de Informações de SEgurança Avançado) proporciona uma experiência perfeita para lidar com várias fontes em exibições uniformes e normalizadas oferecendo diversas funcionalidades.

Quais são essas funcionalidades?

A

Detecção entre fontes;

Conteúdo independente da fonte;

suporte para as fontes personalizadas;

Facilidade de uso.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Quando implatar um analisardor ASIM interno e quando implantar um analisador no espaço de trabalho?

A

Internamente usamos na maioria dos casos que precisamos de analisadores ASIM.

no espaço de trabalho usamos ao implantar novos analisadores ou para analisadores que ainda não estão disponíveis.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quais são os dois níveis de analisadores ASIM? E quais são seus respectivos nomes?

A

O ASIM inclui dois níves de analisadores: analisador unificador e analisadores específicos de origem.

o nome do analisador unificador é _IM_Schema para analisadores internos e imSchema para analisadores implantados no workspace. Schema é o esquema específico que ele atende.

Os analisadores específicos da origem também podem ser chamados de maneira independente. Ex: VimDnsInfobloxNIOS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

qual é a funçao do analisador unificado e do analisador específico de origem?

A

O analisador específico de origem garante que todos os dados relevantes para o esquema são consultados. Depois o analisador específico chama os analisadores específicos de origem para executar a análise e a normalização reais, que é específica para cada fonte.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Com o trabalho de otimização de consulta e de fultragem previa, os analisadores ASIM geralmente têm melhor desempenho do que não usar a normalização?

Verdadeiro ou falso?

A

Verdadeiro.

Utilizar filtro com parâmetros antes de iniciar a consulta e a normalização melhoram o desempenho das consultas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Os usuários do ASIM usam nomes de tabelas ou analisadores unificados em suas consultas?

A

analisadores unificados

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Dê dois exemplos de situações que um usuário ASIM precisará criar uma analisador específico de origem.

A

1 - Quando o dispositivo fornece eventos que se ajustam a um esquema de ASIM, mas um analisador específico de origem para o dispositivo e o esquema relevante não estão disponíveis no Microsoft Sentinel.

2- Quando os analisadores específicos da fonte do ASIM estão disponíveis para seu dispositivo, mas seu dispositivo envia eventos em um método ou formato diferente do esperado pelos analisadores do ASIM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Para desenvolver um analisador personalizado precisamos seguir até 8 passos a depender do caso, quais são eles?

A
  1. Coletar logs de exemplo;
  2. Identifique o esquema ou esquemas que os eventos enviados da fonte representam;
  3. Mapeie os campos de evento de origem para o esquema ou esquemas identificados;
  4. Desenvolva um ou mais analisadores ASIM para sua fonte. Você precisará desenvolver um analisador de filtragem e um analisador sem parâmetros para cada esquema relevante para a fonte;

5.Teste seu analisador;

  1. Implante os analisadores nos workspaces do Microsoft Sentinel;
  2. Atualize o analisador de unificação do ASIM relevante para referenciar o novo analisador personalizado;
  3. Talvez você também queira contribuir com seus analisadores para a distribuição promária do ASIM. Os analisadores colaboradores também podem ser disponibilizados em todos os espaos de trabalho como analisadores internos.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

na criação de analisadores personalizados a priemira tarefa a ser executada é a coleta de logs de exemplo. Um conjunto representativo de logs deve incluir 3 características, quais são elas?

A
  • Eventos com resultados de eventos diferentes;

-Eventos com diferentes ações de resposta;

-Formatos diferentes para nome de usuário, nome de host e IDs e outros campos que exigem normalização de valor.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Verdadeiro ou Falso:

Um analisador persolalizado é uma consulta KQL desenvolvina na página Logs do Microsoft Sentinel.

A

Verdadeiro.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Verdadeiro ou Falso:

Ao criar uma consulta KQL,
um analisador deve primeiro filtrar um evento relevante para o esquema de destino?

A

Falso.

Um analisador deve primeiro filtrar somente os registros relevantes para o esquema de destino. Porque uma tabela pode ter várias fontes de dados e Ainda que uma tabela forneca dados de uma única fonte de dados, ela pode conter vários / diferentes tipos de eventos. e precisamos definir o evento/ registro para usar o analisador.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Qual operador usamos para a filtragem em KQL?

A

Where

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Um analisador deve filtrar por tempo?

A

Não. Um analisador não deve filtrar por tempo. A consulta que usa o analisador aplicará um intervalo de tempo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Quando devemos fazer uma filtragem por tipo de origem usando uma watchlist?

A

Quando o próprio evento não contém informações que permitiriam a filtragem por tipos de origem específicos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Usamos a watchlist “ASimSourceType” é uma lista de origens que definem eventos relevantes.

Dê um explo de situação onde usamos essa whatchlist para filtragem por tipo de origem.

A

Quando os eventos do DNS do infoblox são enviados como mensagens do Syslog e são difíceis de distinguir das mensagens do Syslog enviadas de outras fontes.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
A Microsoft fornece duas recomendações para otimizar a filtragem das consultas com analisadores. Quais são elas?
1. Sempre filtre por campos integrados em vez de analisados. 2. Use operadores que forneçam desempenho otimizado, em particular, ==, has e startswith.
26
Como usar a função iff e case para mapear alguns valores?
iff/case( condição1 and condição2 (opcional), "retorno caso verdadeiro, pode ser string int", "retorno caso falso") Exemplo: Nesse exemplo adicionamos mais uma coluna com o comando extend: | extend EventResult = iff(EventId==257 and ResponseCode==0 ,'Success','Failure')
27
dê um exemplo de uso da função datatable em uma consulta KQL.
let NetworkProtocolLookup = datatable(Proto:real, NetworkProtocol:string)[ 6, 'TCP', 17, 'UDP' ];
28
Qual a diferença entre a função iff e case?
a função iff dá a possiblidade de usarmos duas condições para mapear. EX.: | extend EventResult = iff(EventId==257 and ResponseCode==0,'Success','Failure’) A função case dá suporte a mais de dois valores de condição. EX. : | extend DnsResponseCodeName = case ( DnsResponseCodeName != "", DnsResponseCodeName, DnsResponseCode between (3841 .. 4095), 'Reserved for Private Use', 'Unassigned' )
29
Quais são os operadores que usamos para preparar campos no conjunto de resultados de uma consulta KQL com analisadores?
project-rename; project;away; project; extend.
30
Qual a função do operador project-rename?
Renomeia campos;
31
Qual a função do operador project-away?
Remove campos da consulta.
32
QUal a função do operador project?
Seleciona os campos que exeistiam antes ou que foram criados como parte da instrução e remove todos os outros campos. Obs.: Se você precisar remover campos específicos, como valores temporários usados durante a análise, use project-away para removê-los dos resultados. Obs2: Não recomendado para uso em um analisador, porque ele não removerá os outros campos que não estiverem normalizados.
33
Verdadeiro ou falso: As DCRs (Regras de COleta de dados) fornecem um pipeline do tipo ETL.
Verdadeiro. Ao definir uma DCRs ( Regra de Coleta de Dados) podemos definir como a coleta / extração ocorrerá, podemos definir tratamentos e filtrafens e podemos definir onde elas serão carregadas.
34
1. Ao criar um DCR de transformação do workspace. Qual é o nome da tabela virtual a ser consultada? source input destino
source
35
2. O que é um analisador ASIM no KQL? Variável Função Agregado
função
36
3. Todos os esquemas que dão suporte a parâmetros de filtragem dão suporte no mínimo ao parâmetro? createdon ingestiontime starttime
Starttime
37
Verdadeiro ou falso: O workspace do Log Analytics é um repositório que armazena dados e informaçÕes de configuraçÕes.
Verdadeiro
38
1. Um administrador quer abrir uma consulta salva anteriormente. Após abrir a página de Logs no Microsoft Sentinel, qual das opções a seguir o administrador deve selecionar? Consultas Gerenciador de consultas Painel Tabelas
GErenciador de consultas. O link GErenciador de COnsultas no cabeçalho da página ajuda você a acessar suas consultas salvas. Esse link está mais acima. Mais abaixo encontramos lado a lado tabela, consultas e funções.
39
2. O administrador quer criar uma regra de análise com base na consulta criada. Qual opção do painel de consultas ele deve selecionar? Alerta do Azure Monitor Alerta do Microsoft Sentinel Copiar link
alerta do Microsoft SEntinel. Um novo alerta do Microsoft Sentinel cria uma regra de análise.
40
Normalmente em uma consulta KQL na primeira linha o que colocamos?
na primeira linha colocamos o nome da tabela ou comando de pesquisa.
41
QUal a função do caractere barra vertical "|"
Separar comandos. A saída do primeiro comando se torna a entrada do comando seguinte.
42
função do operador "count"
Retorna a contagem de linhas na tabela
43
função do operador "Take"
retorna até o número especificado de linhas de dados
44
função do operador "project"
seleciona um subconjunto de colunas.
45
função do operador "sort"
classifica as linhas da tabela de entrada em ordem por uma ou mais colunas
46
função do operador "top"
retorna os N primeiros registros classificados de acordo com as colunas especificadas.
47
função do operador "extend"
cria colunas calculadas
48
função do operador "summariza"
agrega grupos de linhas
49
função do operador "render"
renderiza os resultados como uma saída gráfica.
50
função do operador "join"
combina os registros de duas funtos (tabelas)
51
função do operador "union"
combina duas ou mais tabelas em uma
52
1. Qual das ferramentas a seguir um administrador pode usar para consultar dados no Microsoft Sentinel? SQL (Structured Query Language) PowerShell Azure Data Explorer
Azure Data Explorer
53
. Qual dos caracteres a seguir um administrador pode usar para separar os comandos na consulta? Barra vertical (|) Hífen (-) Sublinhado (_)
Barra vertical (|)
54
1. Qual dos seguintes elementos não pode fazer parte da pasta de trabalho? Gráficos Tabelas vídeos
Vídeos. Uma pasta de trabalho não pode conter vídeos
55
. Em qual seção da pasta de trabalho de logs de entrada do Microsoft Entra o administrador pode encontrar informações indicando se os usuários precisam executar a MFA (autenticação multifator) para validar sua identidade? Local da Entrada Status do acesso condicional Entradas por Dispositivo.
status de acesso condicional A tabela Status do Acesso Condicional mostra quais usuários precisam a executar MFA para validar a identidade.
56
Qual formatação o Microsoft Sentinel usa para formatar o texto na pasta de trabalho com visualização de texto? Microsoft Word Formatação de texto HTML Markdown
markdown O texto é editado por meio de uma formatação de Markdown, que fornece diferentes estilos de título e fonte, hiperlinks, tabelas.
57
Um administrador cria uma pasta de trabalho personalizada e deseja exibir os dados em uma tabela. Quais etapas de visualização ele deve usar na pasta de trabalho? Visualização de texto Links/guias Visualização de grade
visualização de grade Você pode usar a visualização de grades para apresentar os dados em tabelas.
58
qual a função do operador "summarize" e ele é usado sozinho?
Summariza agrupa as linhas da tabela e ele deve ser usado com outras funções (count(), avg(),...) Ex.: | summarize count() by Process, Computer
59
QUal a descrição da função arg_max() e arg_min()?
elas retornam a linha mais recente e mais antiga da tabela respectivamente.
60
Qual a descrição das funções make_? como por exemplo a make_list() e make_set()
As funções make retornam uma matris dinâmica (json) com base no propósito da função especificada,
61
Quais são as visualizaçÕes que afunção render dá suporte?
areachart barchart columnchart piechart scatterchart timechart
62
Descrição da função bin()?
arredonda os valores para um múltiplo inteiro do tamanho do compartimento fornecido. Usado frequentemente em combinaçÕes com o summarise.
63
A função dcount() realiza qual das opções a seguir? Retorna uma contagem de dias na diferença de expressão fornecida para a função. Retorna uma contagem de diferença na expressão fornecida para a função. Retorna uma contagem distinta na expressão fornecida para a função.
Retorna uma contagem distinta na expressão fornecida para a função. dcount fornece uma contagem distinta.
64
A função arg_max() realiza qual das opções a seguir? Retorna o valor máximo de cada coluna passada para a função. Retorna um matriz JSON com os valores máximos de cada coluna passados para a função. Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.
Retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão. A função arg_max retorna uma linha selecionada com base na linha que tem o valor máximo de uma expressão.
65
3. A função bin() fornece o maior valor para qual tipo de gráfico? scatterchart timechart barchart
timechart Bin() arredondará valores para um inteiro múltiplo do tamanho de compartimento fornecido. O timechart exibe uma série temporal com base no tamanho do compartimento.
66
Verdadeiro ou falso: Quando uma consulta é selecionada como favorita, ela é executada automaticamente sempre que você abre a página Busca.
Verdadeiro
67
Como os indicadores auxiliam no processo de busca por ameaças? Eles permitem que o buscador salve os resultados da consulta para referência posterior. Eles permitem que o buscador acompanhe o status e a resolução do incidente. Eles permitem que o buscador crie pastas de trabalho com base nos resultados da consulta.
Eles permitem que o buscador salve os resultados da consulta para referência posterior.
68
Verdadeiro ou falso: As transmissões ao vivo sempre são baseadas em uma consulta.
Verdadeiro
69
Cite 3 objetivos que você pode usar uma transmissão ao vivo no Microsoft SEntinel.
TEstar novas consultas em eventos ao vivo. GErar notificaçÕes de ameaças Iniciar Investigações
70
verdadeiro ou falso: É possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.
Falso. As consultas de transmissão ao vivo são executadas continuamente no ambiente dinâmico. Portanto, não é possível usar parâmetros de tempo em uma consulta de transmissão ao vivo.
71
Verdadeiro ou falso: Você pode elevar eventos de uma tranmissão ao vivo salva para alertas.
Verdadeiro. Você pode elevar eventos de uma sessão de transmissão ao vivo para um alerta selecionando os eventos e, em seguida, selecionando Elevar para alertar na barra de ocmandos.
72
evrdadeiro ou falso: Conseguimos usar uma consulta de transmissão ao vivo para criar uma regra de análise?
verdadeiro
73
Qual das alternativas a seguir não pode ser usada em uma consulta de transmissão ao vivo? Parâmetros de tempo Parâmetros de dados de alerta Entidades de evento
Parâmetros de tempo Os parâmetros de tempo não podem ser usados, pois as consultas de transmissão ao vivo são executadas continuamente.
74
VErdadeiro ou falso: Podemos salvar as principais descobertas de uma tranmissão ao vivo em marcadores?
Verdadeiro
75
O que é um guia estratégico (playbooks) do Microsoft Sentinel?
Um guia estratégico (Playbooks) do Microsoft Sentinel é uma coleção de procesimentos de segurança que você pode executar em resposta a alertas.
76
Verdadeiro ou falso: As soluções SIEM oferecem armazenamento e análise de logs, eventos e alertas que outros sistemas geram. Você pode configurar essas soluçÕes para gerar seus próprios alertas.
Verdadeiro
77
Verdadeiro ou Falso: As soluções SOAR dão suporte à correção de vulnerabilidades e à automação geral dos processos de segurança.
Verdadeiro
78
O que é um gatilho usado pelos Aplicativos Lógicos do Azure?
Um gatilho é um evento que ocorre quanto um conjunto específico de confiçÕes for atendido. São ativados automaticamente.
78
Verdadeiro ou falso: Os guias estratégicos (playbooks) são coleções de procedimentos baseados em Aplicativos Lógicos do Azure
Verdadeiro
78
VErdadeiro ou falso: Os guias estratégicos (Playbooks) só podem ser utilizados de forma Automatizada após a configuração de um alerta.
Falso. Podem ser executados manualmente em resposta `investigação de um incidente ou pode configurar um alerta para executar um guia estratégico ( playbook) automaticamente.
78
Verdadeiro ou Falso: Os Aplicativos Lógicos do Azure são um serviço de nuvem que automatiza a operação de seus processos de negócios
Verdadeiro
79
Verdadeiro ou falso: Um conector de dados do Microsoft Sentinel e um conector de Aplicativos Lógicos são a mesma coisa.
Falso. Não são. O conectro de dados do Microsoft Sentinel conecta o SEntinel aos produtos de segurança Microsoft e aos ecossistemas de segurança para soluçÕes que não são da Microsoft. Um conector dos APlicativos Lógicos da Azure é um componente que fornece uma conexão de API para um serviço externo e permite a integração de eventos, dados e açÕes entre outros aplicativos, serviços, sistemas, protocolos e Plataformas.
80
O que é uma ação dos Aplicativos Lógicos do Azure?
Uma ação é uma operação que executa uma tarefa no fluxo de trabalho dos Aplicativos Lógicos do Azure. Ações são executadas quando um gatilho é ativado, quando outra ação é concluída ou quando uma condição é satisfeita.
81
Um administrador precisa criar um guia estratégico do Microsoft Sentinel. O administrador cria um aplicativo lógico e inicia o designer dos Aplicativos Lógicos. Qual dos seguintes conectores o administrador deve usar como um gatilho para o guia estratégico? Conector do Office 365 Conector do Microsoft Sentinel Microsoft Entra Connector
Conector do Microsoft Sentinel Os guias estratégicos do Microsoft Sentinel usam um conector de Aplicativos Lógicos do Microsoft Sentinel para disparar ações de aplicativos lógicos.
82
Qual das declarações a seguir descreve um recurso dos guias estratégicos do Microsoft Sentinel? Os guias estratégicos do Microsoft Sentinel contêm um conjunto de atividades contínuas que sempre são executadas em resposta a alertas. O catálogo de Jogos contém os jogos mais recentes da Microsoft. Coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta.
Coleções de procedimentos baseados em Aplicativos Lógicos do Azure que são executados em resposta a um alerta. Os guias estratégicos do Microsoft Sentinel contêm ação de aplicativos lógicos que são coleções de procedimentos executados em resposta a um alerta
83
Quais são os dois gatilhos dos guias estratégicos (playbooks) ?
Quando uma resposta a um alerta do Microsoft Sentinel é disprada Quando a regra de criação de incidentes do Microsoft SEntinel é disparada
84
O que é o conteúdo dinâmico em um aplicativo lógico? Lista de ameaças selecionadas dinamicamente. Lista de entradas dinâmicas para a ação atual. Lista de usuários dinâmicos.
Lista de entradas dinâmicas para a ação atual. O Conteúdo Dinâmico exibe todas as saídas disponíveis da etapa anterior, que você pode usar como entradas para a ação atual.
85
Um administrador cria um guia estratégico para receber uma notificação a cada vez que a função de administrador global é delegada a um usuário. Qual conector o administrador deve selecionar no aplicativo lógico? Conector do Microsoft Entra. Connector para Office 365. Conector do Microsoft Sentinel.
Conector do Microsoft Sentinel. Os guias estratégicos do Microsoft Sentinel são iniciados com um gatilho do Conector do Microsoft Sentinel.
86
Um administrador deseja anexar um guia estratégico a um incidente existente e começar a investigar o incidente. Qual opção o administrador deve selecionar para anexar o guia estratégico? Novo Não atribuído Nome do incidente
Nome do incidente Sim. Ao selecionar o nome do incidente, você pode iniciar o processo para executar um guia estratégico sob demanda em resposta a um incidente existente.
87
Você deseja procurar uma consulta de detecção de ameaças adequada ou uma pasta de trabalho que possa ser usada para suas necessidades. Em qual local você pode pesquisar esses itens? Centro de Arquitetura do Azure Microsoft Learn Repositório do Microsoft Sentinel no GitHub
Repositório do Microsoft Sentinel no GitHub O repositório do Microsoft Sentinel no GitHub contém detecções prontas para uso, consultas de exploração, consultas de busca, pastas de trabalho e guias estratégicos para ajudar você a proteger seu ambiente e a buscar ameaças.

SC-200 Microsoft Certification (3 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions