JN0-637試験準備中のすべての障害JN0-637実際の試験問題[Q55-Q76]を使用する。

12月 15, 2024 試験問題 0 コメント

この記事を評価する

JN0-637実試験問題集でJN0-637試験準備中のすべての障害

完全無料更新のJN0-637試験問題集

新しい質問 55
セキュリティ・インテリジェンス・フィードは、どの2つのタイプに対応していますか？

感染した宿主の飼料

コマンド・アンド・コントロール・フィード

カスタムフィード

悪質なURLフィード

サポートされているセキュリティ・インテリジェンス・フィードのタイプは2つ：
A) 感染ホスト・フィード。感染ホストフィードは、マルウェアに感染したホストや攻撃者に侵害されたホストのIPアドレスを含むセキュリティインテリジェンスフィードです。SRXシリーズデバイスは、Juniper ATPクラウドから感染ホストフィードをダウンロードするか、IDPからの検出イベントに基づいて独自の感染ホストフィードを生成できます。SRXシリーズデバイスは感染ホストフィードを使用して、セキュリティポリシー1に基づいて感染ホストへのトラフィックまたは感染ホストからのトラフィックをブロックまたは隔離できます。
B) コマンド＆コントロール・フィード。コマンド・アンド・コントロール・フィードとは、マルウェアや攻撃者が感染ホストと通信するために使用するサーバーのIPアドレスを含むセキュリティ・インテリジェンス・フィードのことです。
SRXシリーズデバイスは、Juniper ATPクラウドからコマンド＆コントロールフィードをダウンロードするか、IDPからの検出イベントに基づいて独自のコマンド＆コントロールフィードを生成できます。SRXシリーズデバイスは、コマンド＆コントロールフィードを使用して、セキュリティポリシー2に基づいて、コマンド＆コントロールサーバーへのトラフィックやコマンド＆コントロールサーバーからのトラフィックをブロックしたり、ログに記録したりできます。
他の選択肢は正しくない：
C)カスタムフィード。カスタムフィードはセキュリティインテリジェンスフィードタイプではなく、独自の基準とソースに基づいて独自のセキュリティインテリジェンスフィードを作成できる機能です。カスタムフィードは、Junos Space Security DirectorまたはCLIを使用して設定できます。カスタムフィードは、Juniper ATPクラウドやIDP3ではサポートされていません。
D) 悪意のあるURLフィード。悪意のあるURLフィードは、セキュリティインテリジェンスフィードタイプではなく、セキュリティポリシーに基づいて悪意のあるURLへのトラフィックまたは悪意のあるURLからのトラフィックをブロックまたはログに記録できる機能です。SRXシリーズデバイスは、Juniper ATPクラウドまたはJuniper Threat Labsから悪意のあるURLフィードをダウンロードできます。悪意のあるURLフィードはIDP4ではサポートされていません。
参照感染ホストフィードの概要 Command and Control フィードの概要 Custom フィードの概要 Malicious URL フィードの概要

新しい質問56
出展

CAKのステータスに関する以下の2つの記述のうち、正しいものはどれか。
「FFFP」？(2つ選んでください)

CAK は MACsec セッションの暗号化と復号化には使用されない。

SAKは、この鍵を使って正常に生成される。

CAK は MACsec セッションの暗号化と復号化に使用される。

SAKはこの鍵では生成されない。

新しい質問 57
出展

IPsec トンネルを通る双方向のトラフィックフローを検証している。4546 セッションは、IPsec トンネルのリモート側から発信されるトラフィックを表します。4547 セッションは、ローカルネットワークからリモートネットワークに送信されるトラフィックを表します。
展示に示されている出力に関して、正しい記述はどれか。

IPsecトンネルのリモートゲートウェイアドレスは10.20.20.2です。

セッション情報は、IPsecトンネルが確立されていないことを示している。

IPsecトンネルのローカルゲートウェイアドレスは10.20.20.2です。

NATは、送信パケットの送信元アドレスを変更するために使用されている。

新しい質問 58
認証されたデバイスの ID に基づいて、ネットワーク・リソースへのアクセスを制御するよう求められます。
SRXシリーズファイアウォールでこの目標を達成するための3つのステップはどれですか？

デバイスまたはデバイスのセットを特徴付けるエンドユーザープロファイルを設定する。

セキュリティ・ゾーンのエンドユーザー・プロファイルを参照する。

セキュリティポリシーでエンドユーザープロファイルを参照する。

デバイスを接続するインターフェイスにエンドユーザープロファイルを適用する。

デバイスの認証に使用する認証ソースを設定する。

SRX シリーズファイアウォールで、認証されたデバイスの ID に基づいてネットワークリソースへのアクセスを制御するには、次の手順を実行する必要があります：
A) デバイスまたはデバイスのセットを特徴付けるエンドユーザープロファイルを構成する。エンドユーザー・プロファイルは、デバイス・アイデンティティ・プロファイルであり、プロファイルで構成される属性に応じて、特定のデバイス・グループまたは特定のデバイスの特徴である属性のコレクションを含む。エンドユーザー・プロファイルには、ドメイン名と、各属性に少なくとも 1 つの値が含まれていなければならない。属性には、device-identity、device-category、device-vendor、device-type、device-os、およびdevice-os-version1が含まれる。エンドユーザープロファイルは、Junos Space Security DirectorまたはCLI2を使用して設定できます。
C)セキュリティポリシーでエンドユーザープロファイルを参照する。セキュリティポリシーは、送信元アドレス、宛先アドレス、ゾーン、プロトコル、ポート、アプリケーションなどの指定された条件に一致するトラフィックに対して実行されるアクションを定義するルールです。セキュリティポリシーの source-end-user- profile フィールドで end-user-profile を参照すると、トラフィックの発信元デバイスに基づいてトラフィックの発信元を特定できます。SRX シリーズデバイスは、デバイスの IP アドレスをエンドユーザープロファイルと照合し、それに応じてセキュリティポリシーを適用します3。Junos Space Security DirectorまたはCLIを使用すると、セキュリティポリシーでエンドユーザープロファイルを参照できます4。
E) デバイスの認証に使用する認証ソースを設定します。認証ソースとは、SRX シリーズデバイスにデバイス ID 情報を提供するシステムのことです。認証ソースには、Microsoft Windows Active Directory またはサードパーティのネットワークアクセス制御（NAC）システムを使用できます。
デバイスの認証に使用する認証ソースを設定し、デバイス ID 情報を SRX シリーズデバイスに送信する必要があります。SRXシリーズデバイスは、デバイスID情報をデバイスID認証テーブル5に保存します。認証ソースは、Junos Space Security DirectorまたはCLI6を使用して設定できます。
他の選択肢は正しくない：
B) セキュリティゾーンでエンドユーザープロファイルを参照することは、認証されたデバイスのIDに基づいてネットワークリソースへのアクセスを制御するための有効な手順ではない。セキュリティゾーンは、同様のセキュリティ要件を持つインタフェースを論理的にグループ化したものです。ネットワーク・リソースにアクセスしているユーザーを識別するために、セキュリティ・ゾーンでユーザー・ロールを参照することはできますが、エンドユーザー・プロファイル7を参照することはできません。
D) デバイスを接続するインターフェイスでエンドユーザープロファイルを適用することも、認証されたデバイスの ID に基づいてネットワークリソースへのアクセスを制御する有効な手順ではありません。エンドユーザープロファイルをインターフェイスレベルで適用することはできません。エンドユーザープロファイルはファイアウォールフィルタでもセキュリティポリシーでもなく、セキュリティポリシーで参照されるデバイス ID プロファイルです1。
参照エンドユーザープロファイルの概要エンドユーザープロファイルの作成 source-end-user-profile ファイアウォールポリシールールの作成デバイス ID 認証テーブルとそのエントリの理解デバイス ID の認証ソースの設定 user-role

新しい質問 59
オールインワンの Juniper ATP アプライアンスで SSH ハニーポットを有効にできません。
この問題の原因は何だろう？

コレクタには、最低 2 つのインターフェイスが必要です。

コレクタには、最低 3 つのインターフェイスが必要です。

コレクタには、最低 5 つのインターフェイスが必要です。

コレクタには、最低 4 つのインターフェイスが必要です。

新しい質問 60
貴社は、Juniper Seclntelフィードを使用して、既知のコマンド＆コントロールサーバーへのアクセスをブロックしたいと考えていますが、Security Directorを使用してフィードを管理することは望んでいません。
この状況で機能するジュニパーのデバイスはどれか。(2つ選んでください)

EXシリーズデバイス

MXシリーズデバイス

SRXシリーズデバイス

QFXシリーズ機器

新しい質問 61
出展する：

あなたは、インターフェイスge-0/0/3上のすべてのトラフィックをログに記録し、インバウンドのtelnetトラフィックのみをブロックすることを目的とした、展示に示されているファイアウォールフィルタをトラブルシューティングしています。
要件を満たすために、どのようにコンフィギュレーションを変更すべきでしょうか？

log-all項を修正して、次の項アクションを追加する。

log-all項の削除

log-all項の前に、Telnetをブロックする項を追加する。

ループバックインターフェースに、Telnetトラフィックをブロックするファイアウォール・フィルターを適用する

要件を満たすように設定を変更するには、log-all項を変更して、次の項アクションを追加する必要がある。
他の選択肢は正しくない：
B) log-all項を削除すると、要件の1つであるすべてのトラフィックのログが記録されなくなる。log-all項は、あらゆる送信元アドレスからのすべてのトラフィックにマッチし、システム・ログ・ファイル1にログを記録します。
C)log-all項の前にTelnetをブロックする項を追加すると、log-all項に到達しないため、すべてのトラフィックのログも記録されなくなる。ファイアウォールフィルタは、用語を順番に評価し、最初に一致した用語を適用します。log-all項の前にTelnetをブロックする項がある場合、log-all項はどのトラフィックにもマッチせず、ロギングは発生しない2。
D) Telnetトラフィックをブロックするファイアウォール・フィルターをループバック・インターフェイスに適用しても、もう一つの要件であるインターフェイスge-0/0/3のインバウンドTelnetトラフィックはブロックされない。ループバックインターフェイスは、常にアップしていて到達可能な論理インターフェイスです。ルーティングと管理の目的で使用され、物理インターフェイス上のトラフィックをフィルタリングする目的では使用されない3。
したがって、正解はAです。log-all項を変更して、next termアクションを追加する必要があります。next termアクションは、ファイアウォールフィルタに、現在の項にマッチした後、後続の項の評価を継続するように指示する。この方法では、log-all項がすべてのトラフィックをログに記録した後、block-telnet項に進み、インターフェイスge-0/0/34上の受信Telnetトラフィックのみをブロックします。log-all項を変更して次の項アクションを追加するには、以下の手順を実行する必要がある：
コンフィギュレーション・モードに入る： user@host> configure
ファイアウォールフィルタ階層に移動します： user@host# edit firewall family inet filter block-telnet 次のタームアクションを log-all タームに追加します： user@host# set term log-all then next term 変更をコミットします： user@host# commit 参照： log (ファイアウォールフィルタアクション) ファイアウォールフィルタ設定概要 loopback (インターフェイス) next term (ファイアウォールフィルタアクション)

新しい質問 62
SRXシリーズデバイスに、すべての既知のTorネットワークIPアドレスをブロックするセキュリティポリシーを導入する必要があります。
この条件を満たす2つのステップはどれか。(2つ選んでください)。

Juniper ATPアプライアンスにデバイスを登録します。

Juniper ATPクラウドでデバイスを登録します。

サードパーティのTorフィードを有効にする。

現在知られているすべてのMACアドレスを含むカスタムフィードを作成する。

新しい質問 63
出展する：

図に示すセキュリティトレースオプションの設定は、SRX シリーズのファイアウォールに適用されます。
このシナリオで正しい記述はどれか。

ファイル・デバッガーは、すべてのユーザーが読めるようになる。

トレースが10個のログファイルを生成すると、古いログは上書きされる。

トレースが10個のログファイルを生成したら、トレースプロセスは停止する。

ファイルデバッガは、この設定をコミットしたユーザーだけが読むことができます。

新しい質問 64
出展

展示を参照し、ge-0/0/5.0インターフェイスで許可される3つのプロトコルはどれか。

IBGP

オープンさいたんパスファースト

アイピーセック

ディーエイチシーピー

エヌティーピー

新しい質問65
同じネットワークを持つ2つのサイト間でIPsecトンネルを介した通信を許可するために、図に示すNATルールが適用されています。
このシナリオで正しい記述はどれか？

NATルールは、ソースアドレスと宛先アドレスを変換する。

NATルールは一度に2つのアドレスしか変換しない。

NATルールはN/Aルーティングインスタンスに適用される。

10パケットがNATルールによって処理された。

新しい質問 66
ソースNATの実装では、複数のIPv4アドレスを含むアドレスプールを使用しています。外部アプリケーションと複数のセッションを確立する場合、認証を複数回要求されるという報告がユーザーから寄せられています。外部ホストは内部ネットワークホストとセッションを確立できません。

PATを無効にする。

宛先NATを有効にする。

永続的NATを有効にする

アドレスの永続性を有効にする。

新しい質問 67
あなたは、他のトラフィックに影響を与えることなく、あなたのSRXシリーズデバイスへのSSH制御トラフィックを制限するために、展示に示すファイアウォールフィルタを設計しました。
このシナリオで正しい記述はどれか（2つ選べ）。

このフィルターは、ループバックインターフェースの出力フィルターとして適用されなければならない。

フィルタを適用することで、望ましい結果が得られる。

フィルターをかけても、望ましい結果は得られない。

このフィルターは、ループバックインターフェースの入力フィルターとして適用されなければならない。

新しい質問 68
ドメイン生成アルゴリズムの検出
SRXシリーズのファイアウォールでは、どの2つのステップでこの目標を達成できますか？

edit services]でadvanced-anti-malwareポリシーを定義します。

セキュリティ・メタデータ・ストリーミング・ポリシーをセキュリティ・メタデータ・ストリーミング・ポリシーにアタッチする。

security-metadata-streamingポリシーを[edit

高度なマルウェア対策ポリシーをセキュリティポリシーにアタッチする。

新しい質問 69
信頼ゾーンから非信頼ゾーンへのトラフィックを許可するセキュリティポリシーを設定したが、トラフィックがポリシーにヒットしなかった。
このシナリオで、マッチ基準を使用してトラフィックの問題をトラブルシューティングできるcliコマンドはどれですか？

ショー・セキュリティ・ポリシー・レポート

show security application-tracking counters

show security match-policies

セキュリティ・ポリシーのチェックを依頼する

マッチ基準を使用してトラフィックの問題をトラブルシュートするには、show security match- policies CLI コマンドを使用する必要があります。
他の選択肢は正しくない：
A) show security policy-report CLIコマンドは、ポリシーレポートを表示します。ポリシーレポートは、各ポリシーに一致するセッション数、バイト数、パケット数などのポリシー使用統計の概要です。一致基準やトラフィックがポリシーにヒットしない理由は表示されません1。
B) show security application-tracking counters CLI コマンドは、各アプリケーションに一致するセッション数、バイト数、パケット数など、アプリケーション使用量の統計情報であるアプリケーショントラッキングカウンターを表示します。一致基準やトラフィックが policy2 にヒットしない理由は表示されません。
D) request security policies check CLI コマンドは、構文、参照、競合など、セキュリティポリシーの有効性と一貫性をチェックします。一致基準やトラフィックがポリシーにヒットしない理由は表示されません3。
したがって、正解は C です。show security match-policies CLI コマンドを使用して、一致基準を使用してトラフィックの問題をトラブルシューティングする必要があります。show security match-policies CLI コマンドは、ソースアドレス、宛先アドレス、ゾーン、プロトコル、ポートなど、指定された条件に一致するポリシーを表示します。また、一致する各ポリシーのアクションとヒットカウントも表示されます。
このコマンドを使用して、トラフィックが期待されるポリシーにマッチしているかどうかを確認し、マッチしていない場合は、どのポリシーがトラフィックをブロックまたは拒否しているかを確認することができます4。

新しい質問 70
ある企業が、物理的なSRXシリーズのファイアウォールを複数の論理ユニットに分割し、各ユニット（テナント）を組織内の部署に割り当てたいと考えています。あなたはファイアウォールのプライマリ管理者で、同僚が部門の1つの管理者です。
あなたの同僚について、正しい記述はどれか。(2つ選んでください)

同僚は割り当てられたリソースとルーティングプロトコルを設定できる。

同僚はテナントシステムのリソースにアクセスし、閲覧することができる。

同僚は、テナントシステムに論理インターフェイスを作成し、割り当てることができます。

同僚は、テナントシステムの割り当てリソース数を変更できます。

ある)企業は、物理的なSRXシリーズのファイアウォールを複数の論理ユニットに分割し、各ユニット(テナント)を組織内の部門に割り当てたいと考えています。あなたはファイアウォールのプライマリ管理者で、同僚が部門の1つの管理者です。
あなたの同僚について正しい記述は2つある：
B) 同僚がテナントシステムのリソースにアクセスして閲覧できる。テナント・システムは、ファイアウォールのプライマリ管理者が作成し管理する論理システムの一種です。テナント・システムには、個別の管理ドメイン、論理インターフェイス、ルーティング・インスタンス、セキュリティ・ポリシー、およびその他の機能があります。プライマリ管理者は、テナントシステムを組織内の部署に割り当て、テナントシステムの管理を同僚に委任できます。同僚は、割り当てられたCPU、メモリ、帯域幅、構成されたインターフェイス、ゾーン、ポリシーなど、テナントシステムのリソースにアクセスして表示できます1。
C)同僚はテナント・システムに論理インターフェイスを作成し、割り当てることができる。論理インターフェースは、物理インターフェースのサブセットを表すソフトウェアインターフェースです。論理インターフェイスは、独自のアドレス、カプセル化、およびルーティングパラメータを持つことができます。プライマリ管理者は、テナントシステムに多数の論理インタフェースを割り当て、同僚が論理インタフェースを作成してテナントシステムに割り当てることができます。同僚は、テナントシステムに適切なアドレス、カプセル化、およびルーティングパラメータで論理インタフェースを設定できます2。
他の記述は間違っている：
A) 同僚は割り当てられたリソースとルーティングプロトコルを設定できません。割り当てるリソースとルーティングプロトコルは、ファイアウォールのプライマリ管理者が設定します。プライマリ管理者は、CPU、メモリ、帯域幅などの一定量のリソースをテナントシステムに割り当て、テナントシステムで許可されるルーティングプロトコルを指定できます。同僚は、テナントシステムに割り当てられたリソースやルーティングプロトコルを変更できません1。
D) 同僚はテナントシステムの割り当てリソース数を変更できません。テナントシステムの割り当てリソース数は、ファイアウォールのプライマリ管理者が設定します。プライマリ管理者は、テナントシステムにCPU、メモリ、帯域幅などの一定量のリソースを割り当て、テナントシステムのリソース使用量を監視できます。同僚は、テナントシステムの割り当てリソース数を変更できません1。
リファレンステナントシステムを理解する論理インターフェイスを理解する

新しい質問 71
SRXシリーズデバイスのPolicy Enforcerによる登録に失敗さらにデバッグするには、次のコマンドを実行します。
https://cloudfeeds.argon.juniperaecurity.net/api/manifeat.xml
そして次のような出力を受け取る：
このシナリオの何が問題なのか？

デバイスは Juniper ATP Cloud に直接登録されます。

デバイスはすでにPolicy Enforcerに登録されています。

SRXシリーズデバイスに有効なライセンスがありません。

Junos Spaceには、以下のスキーマに基づくマッチング・スキーマはありません。

新しい質問 72
展示に示されているサードパーティフィードが正しく動作するために必要な、追加の2つの構成アクションはどれですか?(2つ選んでください）。

IPフィルター・カテゴリーとipfilter_office365の値で動的アドレス・エントリーを作成する必要があります。

C&Cカテゴリとcc_offic365の値で動的アドレスエントリを作成する必要があります。

セキュリティポリシーで動的アドレスエントリを適用する必要があります。

セキュリティインテリジェンスポリシーで動的アドレスエントリを適用する必要があります。

新しい質問 73
出展ボタンをクリックします。

SRXシリーズデバイスをJATPに登録しようとすると、図のようなエラーが発生します。
エラーの原因は何ですか？

fxp0 IP アドレスはルーティングできません。

SRXシリーズのデバイス証明書がJATP証明書と一致しない

JATPにアクセスするインターフェースにIPアドレスが割り当てられていない。

ファイアウォールがfxp0でHTTPSをブロックしている

新しい質問 74
図に示すコマンドを実行する。
特定されたトラフィックに対して、どのポリシーがアクティブになりますか？

ポリシー p4

ポリシー p7

方針 p1

方針 p12

新しい質問 75
脅威インテリジェンスをサードパーティツールと共有し、侵害されたホストからの横方向の脅威の伝播をサードパーティツールが特定し、ブロックできるようにすることが求められます。
この目標を達成するための2つのステップはどれか？(2つ選んでください)

SRXシリーズファイアウォールにアプリケーショントークンを設定して、アクセスできるユーザーを制限する

ジュニパーATPクラウドによる脅威インテリジェンスの共有

Juniper ATPクラウドでアプリケーション・トークンを設定し、アクセスできるユーザーを制限します。

SRXシリーズファイアウォールがサードパーティツールと脅威インテリジェンスを共有できるようになります。

環境の脅威インテリジェンスをサードパーティツールと共有するには、Juniper ATPクラウドで脅威インテリジェンスの共有を有効にし、Juniper ATPクラウドでアプリケーショントークンを設定してアクセス者を制限する必要があります。他の選択肢は間違っています：
A) サードパーティツールと脅威インテリジェンスを共有するには、SRXシリーズファイアウォールにアプリケーショントークンを設定する必要はありません。アプリケーショントークンは、Juniper ATPクラウドAPIへのリクエストを認証および許可するために使用されます。このAPIを使用して、ファイルの送信、C&Cフィードの照会、許可リストやブロックリストの管理など、さまざまな操作を実行できます1。ただし、サードパーティツールと脅威情報を共有するには、Juniper ATP CloudのTAXIIサービスを有効にする必要があります。TAXIIサービスは、脅威情報を交換するための別のプロトコルです2。
D) SRXシリーズのファイアウォールでサードパーティツールと脅威インテリジェンスを共有することはできません。SRXシリーズファイアウォールは、悪意のある可能性のあるオブジェクトやファイルをJuniper ATPクラウドに送信して分析したり、Juniper ATPクラウドから脅威インテリジェンスを受信して悪意のあるトラフィックをブロックしたりできます3。
ただし、SRXシリーズのファイアウォールは、サードパーティのツールと脅威インテリジェンスを直接共有することはできません。脅威インテリジェンスを共有するには、Juniper ATPクラウドを仲介する必要があります。したがって、正解はBとCです。Juniper ATPクラウドで脅威インテリジェンスを共有できるようにし、Juniper ATPクラウドでアプリケーショントークンを設定してアクセス者を制限する必要があります。
そのためには、以下の手順を実行する必要がある：
Juniper ATPクラウドでTAXIIサービスを有効化して設定します。TAXII（Trusted Automated eXchange of Indicator Information）は、脅威情報をHTTPSで当事者間で通信するためのプロトコルです。
STIX（Structured Threat Information eXpression）は、TAXIIを使って脅威情報を報告・共有するための言語です。Juniper ATP Cloudは、ファイルスキャンから収集した脅威情報を共有することで、STIXレポートに貢献できます。また、Juniper ATP Cloudは、STIXレポートからの脅威情報だけでなく、その他のソースからの脅威情報も脅威対策に利用します2。TAXIIサービスを有効化して設定するには、Juniper ATP Cloud WebUIでConfigure > Threat Intelligence Sharingを選択し、つまみを右に動かしてEnable TAXIIにし、スライドバーを動かしてファイル共有のしきい値を指定します2。Juniper ATP Cloudでアプリケーショントークンを設定します。アプリケーション・トークンは、Juniper ATP Cloud APIおよびTAXIIサービスへのリクエストの認証と承認に使用されます。Juniper ATP Cloud WebUIでConfigure > Application Tokensを選択して、アプリケーショントークンを作成および管理できます。各トークンの名前、説明、有効期限、権限を指定できます。必要に応じてトークンを失効または削除することもできます。アプリケーション・トークンを使用して、TAXIIサービス1へのアクセス許可を付与または拒否することで、共有脅威インテリジェンスへのアクセス者を制限できます。
参考Threat Intelligence Open API セットアップガイド
脅威インテリジェンス共有の設定
Juniper Advanced Threat Prevention Cloudについて

新しい質問 76
出展

SRXシリーズデバイスのNATセッション情報を確認するためにtraceoptionsを使用しています。
展示品を参照し、正しい記述はどれか。(2つ選びなさい)