<b>#1</b><br>某客户正在调查一起安全事件，其中观察到异常网络流量，并在某个端点上发现了恶意进程。在此环境中，哪项 Cortex XDR 能力有助于将防火墙网络日志与端点数据进行关联？<hr><i style=color:#888>A customer is investigating a security incident in which unusual network traffic is observed and a malicious process is identified on an endpoint. Which Cortex XDR capability assists with correlating firewall network logs and endpoint data in this environment?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Log Stitching（日志拼接）<br><span style=color:#888>Log stitching</span><br><br><div style=color:#444>在 Palo Alto Networks Cortex XDR 生态系统中，Log Stitching（日志拼接）是实现 XDR 中&quot;X&quot;（Extended，扩展）的基础技术。它是将来自不同来源——例如下一代防火墙（NGFW）、GlobalProtect 和 Cortex XDR agent——的碎片化数据自动重新组装为单一、连贯叙事的过程。</div>
<b>#2</b><br>Cortex XDR 中的 RBAC（Role-Based Access Control，基于角色的访问控制）能够实现什么？<hr><i style=color:#888>What is enabled by Role-Based Access Control (RBAC) in Cortex XDR?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 管理权限并分配管理员访问权限。<br><span style=color:#888>Management of permissions and assignment of administrator access rights.</span><br><br><div style=color:#444>在 Cortex XDR 中，RBAC（Role-Based Access Control，基于角色的访问控制）是在管理控制台内执行最小权限原则的主要机制。它使组织能够精确定义管理员或分析师可以查看和执行的内容。</div>
<b>#3</b><br>管理员如何让某个 Cortex XSOAR playbook 在每周特定的时间和星期几定期运行？<hr><i style=color:#888>How can an administrator run a Cortex XSOAR playbook regularly at a specific time and day of the week?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 创建一个用于运行该 playbook 的作业（Job）<br><span style=color:#888>By creating a job that will run the playbook</span><br><br><div style=color:#444>在 Cortex XSOAR 中，作业（Jobs）是用于自动化那些并非由传入的安全事件/事故触发的任务的专用机制。</div>
<b>#4</b><br>Content Pack（内容包）在 Cortex XSOAR 中的作用是什么？<hr><i style=color:#888>What is the role of content packs in Cortex XSOAR?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 提供预构建的捆绑包，以支持安全编排用例<br><span style=color:#888>To provide pre-built bundles for supporting security orchestration use cases</span><br><br><div style=color:#444>在 Cortex XSOAR 中，Content Pack（内容包）是用于实现安全编排、自动化与响应（SOAR）工作流的基本构建块。</div>
<b>#5</b><br>当某个 Cortex XDR 事件包含关于恶意进程的告警时，威胁猎手（threat hunter）在调查中应包含以下哪项任务？<hr><i style=color:#888>Which task should a threat hunter include in the investigation when a Cortex XDR incident contains alerts about a malicious process?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 在环境中的其他端点上搜索该 SHA256 文件哈希。<br><span style=color:#888>Search for the SHA256 file hash on other endpoints in the environment.</span><br><br><div style=color:#444>威胁狩猎是一种主动的、以调查为导向的过程，不同于即时的事件响应/修复。当识别出恶意进程时，威胁猎手的首要目标是确定该威胁在整个企业范围内的影响范围和影响程度（scope and impact）。</div>
<b>#6</b><br>在调查一起涉及 Linux 服务器的事件时，SOC 分析师无法使用 Cortex XSIAM 中的哪项响应操作？<hr><i style=color:#888>Which response action in Cortex XSIAM would be unavailable to a SOC analyst investigating an incident involving a Linux server?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 文件搜索并销毁（File search and destroy）<br><span style=color:#888>File search and destroy</span><br><br><div style=color:#444>Cortex XSIAM（以及 XDR）agent 提供了广泛的响应操作，但这些能力会因端点的操作系统不同而有所差异。</div>
<b>#7</b><br>在 Cortex XSOAR 中，通过两个不同的威胁情报源对某个文件哈希进行评估：VirusTotal 情报源（评级为 B-，通常可靠），其文件裁定为恶意（malicious）；AlienVault 情报源（评级为 B-，通常可靠），其文件裁定为良性（benign）。在 XSOAR 中该文件的最终裁定是什么？<hr><i style=color:#888>A file hash is evaluated in Cortex XSOAR by using two unique threat feeds: VirusTotal feed (rating of B- usually reliable) and the file verdict is malicious AlienVault feed (rating of B- usually reliable) and the file verdict is benign What is the file verdict in XSOAR?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 恶意（Malicious）<br><span style=color:#888>Malicious</span><br><br><div style=color:#444>Cortex XSOAR 使用名为 DBot 的内部评分引擎来确定某个指标（IP、URL、哈希等）的最终裁定。当多个威胁情报源提供相互冲突的信息时，XSOAR 会遵循特定逻辑来计算 DBot Score（DBot 评分）：</div>
<b>#8</b> <b style=color:#fa582d>[多选 2项]</b><br>Cortex XSIAM playbook 支持以下哪两种类型的任务？（选择两项。）<hr><i style=color:#888>Which two types of tasks are supported in Cortex XSIAM playbooks? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,C</b></div><br><b>A.</b> 子 playbook（Sub-playbook）<br><span style=color:#888>Sub-playbook</span><br><b>C.</b> 条件（Conditional）<br><span style=color:#888>Conditional</span><br><br><div style=color:#444>Cortex XSIAM playbook 利用结构化工作流来自动化 SOC 流程。任务类型定义了逻辑在 playbook 中的流转方式：</div>
<b>#9</b><br>使用哪种脚本语言可以在 Cortex XDR 中创建一个自定义小组件（widget），用于展示过去 24 小时内 Windows 登录失败次数最多的前五个账户？<hr><i style=color:#888>Which scripting language would create a custom widget in Cortex XDR that shows the top five accounts with failed Windows logons in the past 24 hours?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> XQL<br><span style=color:#888>XQL</span><br><br><div style=color:#444>XQL（Cortex Query Language，Cortex 查询语言）是 Palo Alto Networks Cortex 生态系统（XDR 与 XSIAM）中通用的专有搜索与处理语言。</div>
<b>#10</b><br>某公司的一台 Windows 端点因先前的恶意软件感染，出现少量文件损坏和注册表键被修改的情况。哪种方案能够将平均解决时间（MTTR）降至最低？<hr><i style=color:#888>Which solution will minimize mean time to resolution (MTTR) when, as a result of previous malware infection, a company’s Windows endpoint is suffering a small amount of file corruption and modified registry keys?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 使用修复建议（remediation suggestions）来还原受影响的文件和注册表修改。<br><span style=color:#888>Use remediation suggestions to restore the affected files and registry modifications.</span><br><br><div style=color:#444>Cortex XDR 内置了一项专门用于在安全事件发生后降低 MTTR（Mean Time to Resolution，平均解决时间）的强大功能：Remediation Suggestions（修复建议）。</div>
<b>#11</b><br>Cortex XDR 的哪个组件专为检测内部威胁（insider threats）而设计？<hr><i style=color:#888>Which component of Cortex XDR is designed to detect insider threats?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Identity Analytics<br><span style=color:#888>Identity Analytics</span><br><br><div style=color:#444>Identity Analytics（前身为 Magnifier 模块的一部分）专门用于识别传统基于签名的工具会漏掉的隐蔽攻击，例如内部威胁（insider threats）、凭据窃取和横向移动（lateral movement）。</div>
<b>#12</b> <b style=color:#fa582d>[多选 2项]</b><br>通过 Cortex XSIAM 内容包（content pack）可以安装或升级哪两类内容？（选择两项。）<hr><i style=color:#888>Which two types of content can be installed or upgraded through a Cortex XSIAM content pack? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,C</b></div><br><b>A.</b> Analytics alerts（分析告警）<br><span style=color:#888>Analytics alerts</span><br><b>C.</b> Data Model rules（数据模型规则）<br><span style=color:#888>Data Model rules</span><br><br><div style=color:#444>在 Cortex XSIAM 中，Content Packs（内容包）是从 Marketplace（应用市场）交付“安全智能”和平台配置的主要载体。</div>
<b>#13</b> <b style=color:#fa582d>[多选 2项]</b><br>以下哪两个步骤属于 Cortex XSOAR 的事件生命周期（incident lifecycle）？（选择两项。）<hr><i style=color:#888>Which two steps belong in the Cortex XSOAR incident lifecycle? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,B</b></div><br><b>A.</b> Planning（规划）<br><span style=color:#888>Planning</span><br><b>B.</b> Incident creation（事件创建）<br><span style=color:#888>Incident creation</span><br><br><div style=color:#444>参见 https://docs-cortex.paloaltonetworks.com/r/Cortex-XSOAR/8/Cortex-XSOAR-SaaS-Documentation/Incident-lifecycle</div>
<b>#14</b><br>要启用将本地部署（on-premises）防火墙日志摄取到 Cortex XDR 中，需要具备什么？<hr><i style=color:#888>What is required to enable ingestion of on-premises firewall logs into Cortex XDR?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Broker VM<br><span style=color:#888>Broker VM</span><br><br><div style=color:#444>要将本地部署硬件的日志送入云原生的 Cortex Data Lake，需要一个“桥梁”。这正是 Broker VM 所承担的角色。</div>
<b>#15</b><br>Cortex XSIAM 中出现一个新事件，其中包含 WildFire 恶意软件告警，以及关于某个未签名进程试图转储 lsass.exe 内存的 Behavioral Threat Protection（BTP）告警。该事件适用于哪种初始裁定（verdict）？<hr><i style=color:#888>A new incident in Cortex XSIAM contains WildFire malware and Behavioral Threat Protection (BTP) alerts about an unsigned process attempting to dump the memory oflsass.exe. Which initial verdict applies to this incident?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> True positive（真阳性）<br><span style=color:#888>True positive</span><br><br><div style=color:#444>在安全运营中，当安全平台正确识别出恶意活动或文件时，即为 True Positive（真阳性）。此场景包含多个高置信度指标，共同确认了该事件的恶意性质：由于该工具针对一个确实为恶意的真实威胁发出了告警，因此裁定为 True Positive（真阳性）。</div>
<b>#16</b> <b style=color:#fa582d>[多选 2项]</b><br>以下哪两项陈述与 Cortex XDR 中的报告（reports）相关？（选择两项。）<hr><i style=color:#888>Which two statements are relevant to reports in Cortex XDR? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A,D</b></div><br><b>A.</b> 报告可以以受密码保护的 PDF 版本发送。<br><span style=color:#888>They can be sent in a password protected PDF version.</span><br><b>D.</b> 报告可以附带一个 XQL 查询小组件（widget）的截图。<br><span style=color:#888>They can have an attached screenshot of an XQL query widget.</span><br><br><div style=color:#444>Cortex XDR 提供了一个强大的报告引擎，用于向各类利益相关者传达安全态势和事件趋势。</div>
<b>#17</b><br>在 SOC 中，事件响应人员（incident responder）的一项主要职责是什么？<hr><i style=color:#888>What is a primary responsibility of an incident responder in a SOC?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 对已升级（escalated）上报的事件进行处置与缓解<br><span style=color:#888>Mitigating incidents that have been escalated</span><br><br><div style=color:#444>在遵循 Palo Alto Networks「分析师即主管（Analyst as Supervisor）」及分级（tiered）模型的现代安全运营中心（SOC）中，各角色职责划分明确，以确保高效处置威胁：事件响应人员的核心职责是对经过升级上报的事件进行处置与缓解。</div>
<b>#18</b> <b style=color:#fa582d>[多选 2项]</b><br>在 Cortex XDR 中进行日志缝合（stitching）时，允许实现以下哪两项功能？（选择两项。）<hr><i style=color:#888>Which two functions are allowed when stitching logs in Cortex XDR? (Choose two.)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,D</b></div><br><b>B.</b> 创建细粒度的 BIOC 与关联（correlation）规则<br><span style=color:#888>Creating granular BIOC and correlation rules</span><br><b>D.</b> 基于网络事件与终端事件的组合运行调查查询<br><span style=color:#888>Running investigation queries based on combined network and endpoint events</span><br><br><div style=color:#444>日志缝合（Log Stitching）是 Cortex XDR 平台的「秘诀所在」。它是一种自动化过程：将来自各种来源（如 Palo Alto Networks 下一代防火墙、Prisma Access 以及 Cortex XDR agent）的原始、零散数据「缝合（stitch）」成统一的因果链（causality chain）。由此，用户可基于组合的网络与终端事件运行调查查询，并创建细粒度的 BIOC 与关联规则。</div>
<b>#19</b><br>什么是 Cortex XSOAR Marketplace？<hr><i style=color:#888>What is the Cortex XSOAR Marketplace?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 内置的可安装内容仓库，包含各类集成与自动化（automation）<br><span style=color:#888>Built-in repository of installable content, including integrations and automations</span><br><br><div style=color:#444>Cortex XSOAR Marketplace 是平台内一个集中式、集成化的生态系统，使 SOC 团队能够借助预构建的安全内容来扩展其运营规模。它是内置的可安装内容仓库，其中包含集成（integration）、自动化（automation）等内容。</div>
<b>#20</b><br>Causality View（因果视图）的作用是什么？<hr><i style=color:#888>What is the function of a Causality View?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 呈现与同一事件相关的所有活动的告警及进程执行链（process execution chain）<br><span style=color:#888>To present the alerts and process execution chain of all activity pertaining to the same event</span><br><br><div style=color:#444>Causality View（因果视图）是 Cortex XDR 与 XSIAM 控制台中最强大的取证工具之一。其主要作用是对某个事件的执行流程提供可视化的层级化呈现，即展示与同一事件相关的所有活动的告警及进程执行链。</div>
<b>#21</b><br>Cortex XDR 中因果分析引擎（Causality Analysis Engine）的主要功能是什么？<hr><i style=color:#888>What are the primary functions of the Causality Analysis Engine in Cortex XDR?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 识别告警的根本原因（root cause），并提供完整的事件取证时间线（forensic timeline）<br><span style=color:#888>To identify the root cause of alerts and provide a complete forensic timeline of events</span><br><br><div style=color:#444>因果分析引擎（Causality Analysis Engine，CAE）是 Cortex XDR 平台的核心后端组件。它的主要作用是对从终端、网络传感器和云端来源采集的海量遥测（telemetry）数据进行梳理与解读，从而识别告警的根本原因，并提供完整的事件取证时间线。</div>
<b>#22</b><br>在 Cortex XSIAM 中，传感器（sensor）是如何工作的？<hr><i style=color:#888>How do sensors function in Cortex XSIAM?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 它们采集日志和遥测（telemetry）数据。<br><span style=color:#888>They collect logs and telemetry data.</span><br><br><div style=color:#444>在 Cortex XSIAM 的架构中，「传感器（sensor）」是分布式组件，负责数据的采集与传输，将数据传送至中央平台。因此其核心功能是采集日志和遥测数据。</div>
<b>#23</b><br>在以下哪种场景中，相较于 EDR 解决方案，组织能够从 Cortex XDR 中获益？<hr><i style=color:#888>In which scenario would an organization benefit from Cortex XDR compared to an EDR solution?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 某企业希望整合来自网络流量、云环境和身份系统的数据，以获得统一的威胁全景视图。<br><span style=color:#888>A business wants to integrate data from network traffic, cloud environments, and identity systems for a unified threat landscape.</span><br><br><div style=color:#444>EDR（终端检测与响应，Endpoint Detection and Response）与 XDR（扩展检测与响应，Extended Detection and Response）之间的根本区别在于可见性的范围，以及跨不同安全域关联数据的能力。因此，当组织希望整合网络流量、云环境和身份系统的数据以获得统一的威胁全景时，Cortex XDR（相较于仅限终端的 EDR）能够带来更大价值。</div>
<b>#24</b><br>管理员应从何处着手为一个新的非 SSO 用户授予对 Cortex XDR 租户（tenant）的访问权限？（单选。）<hr><i style=color:#888>Where can an administrator begin to grant a new non-SSO user access to a Cortex XDR tenant? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Cortex Gateway<br><span style=color:#888>Cortex Gateway</span><br><br><div style=color:#444>Cortex Gateway（前称 Cortex Hub）是所有 Palo Alto Networks Cortex 应用（包括 XDR、XSIAM 和 XSOAR）的集中式管理平面。因此，管理员从这里着手为新的非 SSO 用户授予访问权限。</div>
<b>#25</b><br>当某个用户账户被入侵时，管理员应采取哪项操作来创建自动化响应动作？（单选。）<hr><i style=color:#888>Which action should an administrator take to create automated response actions when a user account is compromised? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 将这些事件映射为某种 Cortex XSOAR 事件（incident）类型，然后运行一个 Playbook。<br><span style=color:#888>Map the events as a type of Cortex XSOAR incident, then run a playbook.</span><br><br><div style=color:#444>在 Cortex XSOAR 生态中，自动化的核心是事件类型（Incident Types）与 Playbook 之间的关联关系。要实现对被入侵账户的自动化响应，管理员需遵循标准的“分类与映射（Classification and Mapping）”工作流：</div>
<b>#26</b> <b style=color:#fa582d>[多选 2项]</b><br>Cortex XSIAM Playbook 支持以下哪两种类型的任务？（选择两项。）<hr><i style=color:#888>Which two types of tasks are supported in Cortex XSIAM playbooks? (Choose two answers)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B,D</b></div><br><b>B.</b> 条件任务（Conditional）<br><span style=color:#888>Conditional</span><br><b>D.</b> 子 Playbook（Sub-playbook）<br><span style=color:#888>Sub-playbook</span><br><br><div style=color:#444>在 Cortex XSIAM 的自动化引擎中，Playbook 由若干种不同的任务类型构建而成，用以定义安全工作流的逻辑。</div>
<b>#27</b><br>哪个 SOC 角色负责调查一条新的低严重性告警？（单选。）<hr><i style=color:#888>Which SOC role investigates a new low severity alert? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 分诊专员（Triage specialist）<br><span style=color:#888>Triage specialist</span><br><br><div style=color:#444>现代安全运营中心（SOC）采用分层（tiered）结构，以高效地处理大量涌入的告警。</div>
<b>#28</b><br>在 Cortex XSOAR 中，War Room 支持进行哪些活动？（单选。）<hr><i style=color:#888>Which activities are facilitated through the War Room in Cortex XSOAR? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> 运行安全 Playbook、脚本和命令<br><span style=color:#888>Running security playbooks, scripts, and commands</span><br><br><div style=color:#444>Cortex XSOAR 中的 War Room 是主要的协作工作区，分析人员在此实时地与某个事件进行交互。它相当于调查工作的数字化“指挥中心（command center）”。</div>
<b>#29</b><br>要在 Cortex XDR 中使用 Query Builder（查询构建器）显示过去 24 小时内 Windows 登录失败次数最多的前五个账户，需要使用哪种脚本语言？（单选。）<hr><i style=color:#888>Which scripting language will allow the use of the Query Builder in Cortex XDR to show the top five accounts with failed Windows logons in the past 24 hours? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> XQL<br><span style=color:#888>XQL</span><br><br><div style=color:#444>在 Cortex 生态中，特别是在 Cortex XDR 和 Cortex XSIAM 内，XQL（Cortex Query Language，Cortex 查询语言）是执行所有数据检索与分析任务时必须使用的语言。</div>
<b>#30</b><br>以下哪项陈述解释了 Cortex XSIAM 中 Identity Threat Detection and Response（ITDR，身份威胁检测与响应）模块与 Identity Analytics（身份分析）之间的区别？<hr><i style=color:#888>Which statement explains the difference between the Cortex Identity Threat Detection and Response (ITDR) module and Identity Analytics in Cortex XSIAM?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Identity Analytics 用于检测可疑登录和 MFA 轰炸（MFA spamming），而 ITDR 模块用于防御异常的内部人员活动以及向物理设备的数据外泄。<br><span style=color:#888>Identity Analytics detects suspicious logins and MFA spamming, whereas the ITDR module defends against anomalous insider activity and exfiltration to physical devices.</span><br><br><div style=color:#444>在 Cortex XSIAM 中，Palo Alto Networks 将基础的行为分析（behavioral analytics）与专门的 ITDR（Identity Threat Detection and Response，身份威胁检测与响应）模块加以区分，从而为应对基于身份的威胁提供多层次防御。</div>
<b>#31</b><br>对于一个不构成直接安全威胁、但表现出侵扰性（obtrusive）行为的样本，WildFire 会给出何种判定（verdict）？<hr><i style=color:#888>What is the WildFire verdict on a sample that does not pose a direct security threat, but is shown to display obtrusive behavior?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Grayware（灰色软件）<br><span style=color:#888>Grayware</span><br><br><div style=color:#444>WildFire 是基于云的威胁分析服务，它根据样本在沙箱执行过程中观察到的行为，将样本归为四种主要判定（verdict）之一：</div>
<b>#32</b><br>在 Cortex XSIAM 评估（evaluation）期间配置数据源和告警传感器时，安全工程师为何可能无法启用 Cortex XDR analytics（分析）功能？（单选。）<hr><i style=color:#888>Why would a security engineer be unable to activate Cortex XDR analytics when configuring data sources and alert sensors during a Cortex XSIAM evaluation? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 在激活 analytics 之前必须满足基线（baseline）要求。<br><span style=color:#888>Baseline requirements must be met before activating analytics.</span><br><br><div style=color:#444>在 Cortex 生态中，Analytics（尤其是 Behavioral Analytics，行为分析）并不像传统的基于签名的检测器那样工作。相反，它依赖机器学习（Machine Learning，ML），通过将当前活动与“正常”基线进行比较来识别异常。</div>
<b>#33</b><br>在 Cortex XDR 中，可以用什么来对某个 artifact（工件/取证对象，如文件、URL、IP）进行研判（triage）并判断其是否为恶意？（单选。）<hr><i style=color:#888>What can be used to triage and determine if an artifact in Cortex XDR is malicious? (Choose one answer)</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> WildFire 报告<br><span style=color:#888>WildFire report</span><br><br><div style=color:#444>当 SOC 分析师执行 triage（研判，即判定威胁性质与紧急程度的过程）时，必须超越告警本身，去调查所涉及的具体 artifact（文件、URL 或 IP 地址）。WildFire 报告能够对文件等 artifact 进行沙箱分析并给出恶意/良性的裁定，因此可用于判断该 artifact 是否为恶意。</div>
<b>#34</b><br>基于对公司整体的功能影响（functional impact）与信息影响（informational impact），应急响应人员应优先处理下列哪一起事件？<hr><i style=color:#888>Which incident should a responder prioritize based on overall functional and informational impact to the company?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 发生了从内部文件服务器向某公共网站大量上传用户数据的行为。<br><span style=color:#888>A large upload of user data from an internal file server to a public website occurs.</span><br><br><div style=color:#444>在 Palo Alto Networks 及基于 NIST 的安全运营框架中，事件优先级是通过同时评估 Functional Impact（功能影响，即对业务流程的影响）和 Informational Impact（信息影响，即对数据机密性与完整性的影响）来计算的。将大量用户数据从内部服务器上传到公共网站，既造成严重的信息影响（数据泄露，机密性受损），也可能带来重大功能影响，因此应最优先处理。</div>
<b>#35</b><br>在一次高级网络攻击中，某公司遭遇了一次隐蔽的、多向量的入侵，该入侵规避了传统安全工具的检测。公司需要一个能够跨其网络、端点和云环境对分散的攻击指标进行关联与分析，以揭示此次入侵的完整范围，并立即采取自动化响应措施的解决方案。应推荐哪种解决方案？<hr><i style=color:#888>During a sophisticated cyber attack, a company experiences a stealthy, multivector intrusion that evades detection by traditional security tools. The company requires a solution that will correlate and analyze the disparate attack indicators across its network, endpoints, and cloud environments to uncover the full scope of the breach and take immediate automated response actions. Which solution should be recommended?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> XDR<br><span style=color:#888>XDR</span><br><br><div style=color:#444>该场景描述的正是对 Extended Detection and Response（XDR，扩展检测与响应）的需求，而 XDR 正是为解决安全工具“孤岛化（siloed）”问题而创建的类别。XDR 能够跨网络、端点和云环境关联分散的指标，揭示攻击全貌，并采取自动化响应。</div>
<b>#36</b><br>在 Cortex 中，冷存储（cold storage）与热存储（hot storage）之间的区别是什么？<hr><i style=color:#888>What is a difference between cold storage and hot storage in Cortex?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> 查询冷存储中的日志比查询热存储中的日志耗时更长。<br><span style=color:#888>Querying logs in cold storage takes more time than querying logs in hot storage.</span><br><br><div style=color:#444>在 Cortex Data Lake（由 XDR 和 XSIAM 使用）中，存储采用分层设计，以在性能与成本效益之间取得平衡。热存储用于近期、需频繁快速查询的数据；冷存储用于较旧、访问频率低的数据，成本更低但检索速度更慢，因此查询冷存储中的日志比查询热存储耗时更长。</div>
<b>#37</b><br>在 Cortex XSOAR 中，分析师在何处可以与他人协作并实时交流，以进行联合的实时调查？<hr><i style=color:#888>Where in Cortex XSOAR are analysts able to collaborate and converse with others for joint real- time investigations?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> War Room（作战室）<br><span style=color:#888>War Room</span><br><br><div style=color:#444>War Room（作战室）是 Cortex XSOAR 的核心协作功能。它旨在模拟一个物理的“作战室”，让安全专家聚集在一起解决危机，可在其中进行实时协作、交流并联合开展调查。</div>
<b>#38</b><br>当检测到由多个事件构成、且偏离已建立的基线行为的可疑活动时，Cortex XDR 的哪个组件会发出告警？<hr><i style=color:#888>Which Cortex XDR component raises an alert when suspicious activity composed of multiple events is detected and deviates from established baseline behavior?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Analytics Engine（分析引擎）<br><span style=color:#888>Analytics Engine</span><br><br><div style=color:#444>Cortex XDR 使用多个引擎来检测威胁，但专门聚焦于基线偏离（baseline deviations）和行为异常（behavioral anomalies）的是 Analytics Engine（分析引擎）。它通过对多个事件进行行为分析并与已建立的基线进行比较，从而在活动偏离正常基线时发出告警。</div>
<b>#39</b><br>管理员需要阻止用户将未授权的 USB 闪存盘连接到公司工作站，以降低数据外泄（data exfiltration）风险。应配置 Cortex XDR 的哪项功能？<hr><i style=color:#888>An administrator needs to prevent users from connecting unauthorized USB flash drives to their corporate workstations to reduce the risk of data exfiltration. Which Cortex XDR feature should be configured?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：A</b></div><br><b>A.</b> Device Control（设备管控）<br><span style=color:#888>Device Control</span><br><br><div style=color:#444>Device Control（设备管控）是 Cortex XDR 代理设置中的一个专门模块，用于管理和限制外围设备的使用。它可以按类型、厂商或具体设备来限制 USB 存储设备等外设的连接，从而阻止未授权的 USB 闪存盘，降低数据外泄风险。</div>
<b>#40</b><br>某公司拥有高度分段（segmented）的网络，Cortex XSOAR 服务器无法直接与本地（on-premises）邮件服务器通信。应在邮件服务器所在的网段中部署哪个组件以促成集成？<hr><i style=color:#888>A company has a highly segmented network where the Cortex XSOAR server cannot directly communicate with an on-premises mail server. Which component should be deployed in the mail server&#x27;s segment to facilitate integration?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> XSOAR Engine（XSOAR 引擎）<br><span style=color:#888>XSOAR Engine</span><br><br><div style=color:#444>在 Cortex XSOAR 架构中，Cortex XSOAR Engine（XSOAR 引擎）是用于将平台能力延伸到远程或受限网段的专用组件。将其部署在邮件服务器所在网段后，Engine 可与该网段内的资源（如邮件服务器）直接通信，并与 XSOAR 服务器建立出站连接，从而在服务器无法直接访问该网段时实现集成。</div>
<b>#41</b><br>在 Cortex XSIAM 中，哪个流程能确保来自不同厂商（例如 Check Point、Cisco 和 Microsoft）的原始日志被转换为标准化格式，以便进行统一分析？<hr><i style=color:#888>Which process in Cortex XSIAM ensures that raw logs from different vendors (e.g., Check Point, Cisco, and Microsoft) are converted into a standardized format for unified analysis?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> XDM Mapping（XDM 映射）<br><span style=color:#888>XDM Mapping</span><br><br><div style=color:#444>XDM（Cortex Data Model，Cortex 数据模型）是 Cortex XSIAM 能够充当统一 SOC 平台的核心支柱。</div>
<b>#42</b><br>在 NIST 事件响应生命周期的哪个阶段，SOC 团队会召开「经验教训（Lessons Learned）」会议以改进未来的响应工作？<hr><i style=color:#888>During which phase of the NIST Incident Response lifecycle does a SOC team conduct a &quot;Lessons Learned&quot; meeting to improve future response efforts?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> Post-Incident Activity（事件后活动）<br><span style=color:#888>Post-Incident Activity</span><br><br><div style=color:#444>NIST SP 800-61 框架（Palo Alto Networks 所遵循的框架）将 Post-Incident Activity（事件后活动）定义为最后一个、也可以说是对 SOC 长期成熟度而言最重要的阶段。</div>
<b>#43</b><br>Cortex XSOAR 通常使用哪种协议来自动从外部 TAXII 服务器拉取威胁情报指标？<hr><i style=color:#888>Which protocol is commonly used by Cortex XSOAR to automatically pull threat intelligence indicators from external TAXII servers?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> TAXII<br><span style=color:#888>TAXII</span><br><br><div style=color:#444>在威胁情报领域，STIX 和 TAXII 协同工作，但它们扮演不同的角色：</div>
<b>#44</b><br>一位分析师发现某个内部自研应用程序被 Behavioral Threat Protection（BTP，行为威胁防护）模块错误地标记为恶意。要在停止这些告警的同时又能保持对其他应用程序的安全防护，最佳做法是什么？<hr><i style=color:#888>An analyst identifies that a custom internal application is being incorrectly flagged as malicious by the Behavioral Threat Protection (BTP) module. What is the best way to stop these alerts while maintaining security for other applications?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 从 Incident View（事件视图）为该告警创建一个特定的 Exception（例外）。<br><span style=color:#888>Create a specific Exception for the alert from the Incident View.</span><br><br><div style=color:#444>在 Cortex XDR 中，Exception（例外）是对平台进行调优的首选方法，可在不制造大范围安全缺口的前提下减少误报。</div>
<b>#45</b><br>由集成任务检索到的数据（例如某个用户的电子邮件地址或某个文件的信誉评分）存储在事件的什么位置，以便其他 playbook 任务可以访问它？<hr><i style=color:#888>Where is the data retrieved by an integration task (such as a user&#x27;s email address or a file&#x27;s reputation) stored within an incident so that other playbook tasks can access it?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Context Data（上下文数据）<br><span style=color:#888>Context Data</span><br><br><div style=color:#444>Context Data（上下文数据）是 Cortex XSOAR 的一个关键架构组件。它为每个事件充当一个临时的、JSON 格式的「草稿板（scratchpad）」。</div>
<b>#46</b><br>Cortex XSIAM 的哪项功能利用机器学习自动将相关告警归组为单个可管理的事件，从而减轻告警疲劳？<hr><i style=color:#888>Which Cortex XSIAM feature uses machine learning to automatically group related alerts into a single, manageable incident to reduce alert fatigue?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> Incident Stitching（事件缝合）<br><span style=color:#888>Incident Stitching</span><br><br><div style=color:#444>Incident Stitching（事件缝合，或称关联 Correlation）是 Cortex XSIAM 中的智能层，用于解决 SOC 分析师被过多单个告警「淹没（swamping）」的问题。</div>
<b>#47</b><br>在分级处置（triage）过程中，「Tier 1」分析师的主要目标是什么？<hr><i style=color:#888>What is the primary objective of a &quot;Tier 1&quot; analyst during the triage process?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 判定某个告警的有效性及其升级的紧急程度。<br><span style=color:#888>Determining the validity of an alert and its urgency for escalation.</span><br><br><div style=color:#444>在标准的 SOC 层级结构中，Tier 1 Analyst（分级处置专员 Triage Specialist）充当所有传入安全遥测数据的第一道过滤器。</div>
<b>#48</b><br>在 MITRE ATT&amp;CK 框架中，哪个术语描述的是攻击者的高层级「为什么（Why）」或目标，例如「Initial Access（初始访问）」或「Exfiltration（数据外传）」？<hr><i style=color:#888>In the MITRE ATT&amp;CK framework, which term describes the specific high-level &quot;Why&quot; or goal of an attacker, such as &quot;Initial Access&quot; or &quot;Exfiltration&quot;?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Tactic（战术）<br><span style=color:#888>Tactic</span><br><br><div style=color:#444>MITRE ATT&amp;CK 框架被划分为一种层级结构，帮助 SOC 分析师理解攻击者行为：</div>
<b>#49</b><br>在编写自定义 XQL 查询以搜寻特定网络异常时，查询语法的哪一部分用于定义正在搜索的具体数据表或数据源？<hr><i style=color:#888>When writing a custom XQL query to hunt for specific network anomalies, which part of the query syntax is used to define the specific table or source of data being searched?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> dataset<br><span style=color:#888>dataset</span><br><br><div style=color:#444>在 XQL（Cortex Query Language，Cortex 查询语言）语法中，每个查询都必须以 dataset 阶段开始。</div>
<b>#50</b><br>在 Cortex XSOAR 中，当一个指标（例如某个恶意 IP）达到其配置的过期日期后，默认情况下会发生什么？<hr><i style=color:#888>In Cortex XSOAR, what happens by default to an indicator (such as a malicious IP) once it reaches its configured expiration date?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> 它仍保留在系统中，但会被标记为“Expired（已过期）”，并不再主动推送到各集成中。<br><span style=color:#888>It remains in the system but is marked as "Expired" and no longer actively pushed to integrations.</span><br><br><div style=color:#444>Indicator Lifecycle Management（指标生命周期管理）是 Cortex XSOAR 的一项核心功能，用于确保威胁情报保持相关性，并避免随时间推移造成“误报”式的拦截（因为 IP 常常被重新分配）。</div>
<b>#51</b><br>哪个 Cortex XDR Exploit Prevention Module（EPM，漏洞利用防护模块）专门用于通过监控“stack pivoting（栈转移）”或“jump to return（跳转到返回）”指令，来检测并阻止“Return-Oriented Programming（ROP，面向返回编程）”技术？<hr><i style=color:#888>Which Cortex XDR Exploit Prevention Module (EPM) is specifically designed to detect and block &quot;Return-Oriented Programming&quot; (ROP) techniques by monitoring for &quot;stack pivoting&quot; or &quot;jump to return&quot; instructions?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> JMP2RET / Stack Pivot Protection（栈转移防护）<br><span style=color:#888>JMP2RET / Stack Pivot Protection</span><br><br><div style=color:#444>现代漏洞利用手法通常会通过使用 ROP（Return-Oriented Programming，面向返回编程）链来绕过 DEP（Data Execution Prevention，数据执行保护）。这种手法会将内存中已存在的合法代码的小片段（gadget）串联在一起。</div>
<b>#52</b><br>SOC 管理层用哪个指标来衡量平均“Dwell Time（驻留时间）”——即从成功入侵发生到该入侵首次被某个安全工具或分析师识别之间的时长？<hr><i style=color:#888>Which metric is used by SOC management to measure the average &quot;Dwell Time&quot;—the duration between a successful compromise and the moment it is first identified by a security tool or analyst?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> MTTD（Mean Time to Detect，平均检测时间）<br><span style=color:#888>MTTD (Mean Time to Detect)</span><br><br><div style=color:#444>MTTD（Mean Time to Detect，平均检测时间）是评估 SOC 有效性最关键的关键绩效指标（KPI）之一。</div>
<b>#53</b><br>在 Cortex XDR 或 XSIAM 的事件（Incident）视图中，“Unit 42 Intel”集成如何直接为 SOC 分析师提供帮助？<hr><i style=color:#888>How does the &quot;Unit 42 Intel&quot; integration directly assist a SOC analyst within the Cortex XDR or XSIAM Incident view?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 它会提供一张“威胁卡片（threat card）”，其中包含攻击者画像、已知别名以及相关的 MITRE ATT&CK 技术。<br><span style=color:#888>It provides a "threat card" with actor profiles, known aliases, and related MITRE ATT&CK techniques.</span><br><br><div style=color:#444>Palo Alto Networks 将其世界一流的威胁情报部门 Unit 42 直接集成到了 Cortex 平台中。</div>
<b>#54</b><br>Cortex XDR 中的哪项响应操作允许 SOC 分析师远程访问某个终端的命令行界面（CLI），以执行手动取证数据采集或系统修复？<hr><i style=color:#888>Which response action in Cortex XDR allows a SOC analyst to remotely access an endpoint’s command-line interface to perform manual forensic data collection or system remediation?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Live Terminal<br><span style=color:#888>Live Terminal</span><br><br><div style=color:#444>Live Terminal 是直接内置于 Cortex XDR 和 XSIAM 控制台中的一款强大的取证与修复工具。</div>
<b>#55</b><br>在 Cortex XSOAR 中，使用哪项功能来确保将来自传入告警的特定数据点（例如防火墙日志中的“Source_Address”）正确地分配到 XSOAR 事件中标准化的“Source IP（源 IP）”字段？<hr><i style=color:#888>Which Cortex XSOAR feature is used to ensure that specific data points from an incoming alert (such as a &quot;Source_Address&quot; from a firewall log) are correctly assigned to the standardized &quot;Source IP&quot; field within the XSOAR incident?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Mapping（映射）<br><span style=color:#888>Mapping</span><br><br><div style=color:#444>在 Cortex XSOAR 中，处理传入数据的过程包含两个不同的步骤：Classification（分类）和 Mapping（映射）。</div>
<b>#56</b><br>Cortex XSIAM 中的哪个仪表板或模块可提供对未受管设备、未经授权的影子 IT，以及当前未安装 Cortex agent 的云资产的可见性？<hr><i style=color:#888>Which dashboard or module in Cortex XSIAM provides visibility into unmanaged devices, unauthorized shadow IT, and cloud assets that do not currently have a Cortex agent installed?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：C</b></div><br><b>C.</b> Cloud Discovery & Exposure（云发现与暴露面）<br><span style=color:#888>Cloud Discovery & Exposure</span><br><br><div style=color:#444>Cloud Discovery &amp; Exposure（云发现与暴露面，属于 XSIAM 中更广义的攻击面管理/ASM 能力的一部分）旨在解决组织基础设施中“盲区”的问题。</div>
<b>#57</b><br>对于现代 SOC 而言，「平台化（Platformization）」——即将各自为政的安全工具整合到 Cortex 这样的统一平台中——的主要收益是什么？<hr><i style=color:#888>What is the primary benefit of &quot;Platformization&quot;—the consolidation of disparate security tools into a unified platform like Cortex—for a modern SOC?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> 降低安全技术栈的复杂度，并改善数据关联能力。<br><span style=color:#888>Reducing the complexity of the security stack and improving data correlation.</span><br><br><div style=color:#444>平台化（Platformization）是 Palo Alto Networks Cortex 生态体系的核心理念。</div>
<b>#58</b><br>根据交通灯协议（Traffic Light Protocol，TLP）2.0 标准，哪一种分级用于标注仅限于参与某次调查的特定个人知悉、且不得进一步传播的信息？<hr><i style=color:#888>According to the Traffic Light Protocol (TLP) 2.0 standard, which classification is used for information that is restricted to the specific individuals involved in an investigation and cannot be shared further?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：D</b></div><br><b>D.</b> TLP:RED<br><span style=color:#888>TLP:RED</span><br><br><div style=color:#444>交通灯协议（Traffic Light Protocol，TLP）是一项国际标准，SOC 和 CSIRT（计算机安全事件响应团队）使用它来确保敏感信息只在正确的受众范围内共享。</div>
<b>#59</b><br>某分析师希望创建一条检测规则：只要有任何进程试图向 lsass.exe 进程执行代码注入，无论发起进程的文件哈希是否已知为恶意，都要触发告警。应当创建哪种类型的规则？<hr><i style=color:#888>An analyst wants to create a detection rule that triggers when any process attempts to perform code injection into thelsass.exeprocess, regardless of whether the file hash of the source process is known to be malicious. Which type of rule should be created?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> BIOC（Behavioral Indicator of Compromise，行为失陷指标）<br><span style=color:#888>BIOC (Behavioral Indicator of Compromise)</span><br><br><div style=color:#444>在 Cortex XDR 环境中，规则按其所监控的对象进行分类：</div>
<b>#60</b><br>哪一个 Cortex XSIAM 组件利用机器学习为网络中的每个用户和主机自动构建「正常」行为基线，随后提供其历史活动和风险等级的可搜索画像？<hr><i style=color:#888>Which Cortex XSIAM component uses machine learning to automatically build a baseline of &quot;normal&quot; behavior for every user and host in the network, and then provides a searchable profile of their historical activity and risk level?</i>	<div style=font-size:18px;color:#1f9d55><b>✔ 正确答案：B</b></div><br><b>B.</b> Entity Profiling（实体画像）<br><span style=color:#888>Entity Profiling</span><br><br><div style=color:#444>Entity Profiling（实体画像）是 Cortex XSIAM 中专门支撑其用户与实体行为分析（UEBA）功能的能力。</div>