30/6/2020 lmsilt_ quiz.

html

1) Which of the following statements is true regarding Intrusion Prevention protection?

• Intrusion Prevention protection can drop malicious packets but cannot reset the connection
• Intrusion Prevention protection can drop or reset a connection.
• Intrusion Prevention protection only works in conjunction with the Anti-Malware Protection Module.
• Intrusion Prevention protection can only work on computers where a Deep Security Agent is installed; agentless protection
is not supported.

2) Based on the policy configuration displayed in the exhibit, which of the following statements is true?

• If the Deep Security Manager does not receive a message from the Deep Security agent every 20 minutes, an
alert will be raised.
• Deep Security Agents will send event information to Deep Security Manager every 10 minutes.
• Changes to any of the Deep Security policies will be send to the Deep Security Agents as soon as the changes are
saved.
• Administrators with access to the protected server will be able to uninstall the Deep Security Agent through
Windows Control Panel.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 1/22

 30/6/2020 lmsilt_ quiz.html

3) Which of the following statements is false regarding the Log Inspection Protection Module?
• Scan for Recommendations identifies Log Inspection rules that Deep Security should implement.
• Custom Log Inspections rules can be created using the Open Source Security (OSSEC) standard.
• The Log Inspection Protection Module is supported in both agent-based and agentless environments.
• Deep Security Manager collects Log Inspection Events from Deep Security Agents at every heartbeat.

4) New servers are added to the Computers list in Deep Security Manager Web console by running a Discover
operation. What behavior can you expect for newly discovered computers?
• Any servers within the IP address range will be added to the Computers list, regardless of whether they are
hosting a Deep Security Agent or not.
• Any servers within the IP address range that are hosting Deep Security Agents will be added to the Computers list
and will be automatically activated.
• Any servers within the IP address range hosting a Deep Security Agent will be added to the Computers list.
• Any servers discovered in the selected Active Directory branch hosting a Deep Security Agent will be added to the
Computers list.

5) Which of the following statements is true regarding Event Tagging?

• Adding a tag to an event modifies the event data by adding fields, including the name of the tag, the date the tag
was applied, and whether the tag was applied manually or automatically.
• Events can be tagged automatically if they are similar to known good events.
• Events can be automatically deleted based on tags.
• Only a single tag can be assigned to an event.

6) How is scan caching used in Agentless implementations of Deep Security?

• Scan caching maintains the Inclusions and Exclusions lists from the Malware Scan Configuration in memory to
improve performance.
• Scan caching enhances the performance of the Deep Security Virtual Appliance in that files scanned for malware
on a virtual machine that appear on other virtual machines do not need to be scanned again.
• Scan caching is used in Agent-based installations only and is not supported in an agentless implementation.
• Scan caching manages resource usage by staggering the launch of malware scans to prevent scan storms

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 2/22

 30/6/2020 lmsilt_ quiz.html

7) Which of the following statements is correct regarding the policy settings displayed in the exhibit?

• Deep Security Agents using the displayed policy will send event details to Deep Security Manager every 5
minutes.
• The Heartbeat interval value displayed in this policy is inherited from the parent policy.
• All Deep Security Agents will send event details to Deep Security Manager every 5 minutes.
• Deep Security Manager will refresh the policy details on the Deep Security Agents using this policy every 5
minutes.

8) Multi-tenancy is enabled in Deep Security and new tenants are created. Where does the new tenant data get stored
when using SQL Server as the Deep Security database?
• An additional table is created for each new tenant in the existing database in the SQL Server database to store its
data.
• An additional database is created in SQL Server for each new tenant to store its data.
• The new tenant data is added to the existing SQL Server database.
• An additional user is created for each new tenant in the SQL Server database to store its data.

9) A collection of servers protected by Deep Security do not have Internet access. How can Smart Scan be used on these
computers.
• Promote one of the Deep Security Agents on the air-gapped computers to become a Relay.
• Install a Smart Protection Server in the environment and set it as the source for the File Reputation Service.
• Smart Scan can be configured to use a local pattern file containing the same information as the Smart Protection
Network.
• Smart Scan must contact the Smart Protection Network to function. Any servers without Internet access will be
unable to use Smart Scan.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 3/22

 30/6/2020 lmsilt_ quiz.html

10) What is the purpose of the override.properties file?

• This file contains the original out-of-the-box configuration properties for Deep Security Manager. This file is
renamed to dsm.properties upon initialization of Deep Security Manager.
• This file allows Deep Security Agents to override enforced behavior by providing new policy configuration details.
• This file is used to transfer policy settings from one installation of Deep Security Manager to another.
• This file allows properties to be tested on Deep Security Manager without affecting the original configuration.
Multiple Choice
11) Which of the following items must be included in any request for resources that are made through the Deep Security
API? Select all that apply.
• API key
• API version
• URL of the API-enabled resource
• Administrator password
12) Based on the details of the event displayed in the exhibit, which of the following statements is false?

• You can instruct the Deep Security Agents and Appliances to block traffic from the source IP address for a period
of time.
• The scan may be generated from an IP address which may be known to you. If so, the source IP address can be
added to the reconnaissance whitelist.
• The Intrusion Prevention Protection Modules must be enabled to detect reconnaissance scans.
• You can create a firewall rule to permanently block traffic from the originating IP address.

13) Which Protection Modules can make use of a locally installed Smart Protection Server?
• The Anti-Malware, Web Reputation and Intrusion Prevention Protection Modules can make use of the locally
installed Smart Protection Server.
• Anti-Malware is the only Protection Module that can use the locally installed Smart Protection Server.
• The Anti-Malware and Web Reputation Protection Modules can make use of the locally installed Smart Protection
Server.
• All Protection Modules can make use of the locally installed Smart Protection Server.
Multiple Choice
14) As the administrator in a multi-tenant environment, you would like to monitor the usage of security services by
tenants? Which of the following are valid methods for monitoring the usage of the system by the tenants? Select all that
apply.
• Monitor the Tenant Protection Activity widget on the Dashboard.
• Generate a Chargeback report in Deep Security Manager Web console.
• Use the Representational State Transfer (REST) API to collect usage data from the tenants.
• Monitor usage by the tenants from the Statistics tab in the tenant Properties window.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 4/22

 30/6/2020 lmsilt_ quiz.html

15) The Firewall Protection Module is enabled on a server through the computer details. What is default behavior of the
Firewall if no rules are yet applied?
• All traffic is permitted through the firewall until either a Deny or Allow rule is assigned.
• All traffic is passed through the Firewall using a Bypass rule
• All traffic is blocked by the firewall until an Allow rule is assigned.
• A collection of default rules will automatically be assigned when the Firewall Protection Module is enabled.

16) What is IntelliScan?

• IntelliScan is a technique used to identify which files are subject to malware infection and scans only those files.
• IntelliScan is a malware scanning technique that monitors process memory in real time. It can identify known
malicious processes and terminate them.
• IntelliScan is a mechanism that improves scanning performance. It recognizes files that have already been
scanned based on a digital fingerprint of the file.
• IntelliScan reduces the risk of viruses entering your network by blocking real-time compressed executable files and
pairs them with other characteristics to improve malware catch rates.

17) An administrator attempts to activate the Deep Security Agent installed on a server by typing the following command in
the Command Prompt on the Deep Security Agent computer:
dsa_control -a dsm://server1.acme.com:4120
• The Agent does not activate as expected. What is a valid reason for this issue?
• The command listed can only executed from the Command Prompt on the Deep Security Manager computer.
• "Allow Agent-Initiated Activation" is currently not enabled in Deep Security Manager.
• Deep Security Agents can not be activated through the Command Prompt. They must be activated through the
Deep Security Manager Web console or through a deployment script.
The incorrect port was used. The correct command would be:
dsa_control -a dsm://server1.acme.com:4118
18) Which of the following Protection Modules does not benefit from Recommendation Scans?
• Firewall
• Log Inspection
• Integrity Monitoring
• Intrusion Prevention

19) Which of the following statements correctly describes Smart Folders?

• Smart Folders act as a saved search of computers which is executed each time the folder is clicked to display its
contents.
• Smart Folders identify the folders that will be scanned when a Real-Time, Manual or Scheduled malware scan is
run.
• Smart Folders are the containers used to store the results of Recommendation Scans. Once a Recommendation
Scan has completed, and administrator can click a Smart Folder and select which of the recommended rules to
apply.
• Smart Folders are a collection of subfolders containing the policy settings that are applied to child policies or
directly to Computers.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 5/22

 30/6/2020 lmsilt_ quiz.html

20) In the policy displayed in the exhibit, the state of the Web Reputation Protection Module is set to "Inherited (On)", while
the state for the other Protection Modules is set to "On". Why is the Web Reputation Protection Module displayed
differently than the other Protection Modules.

• In this example, the state for the Web Reputation Protection Module is listed as "Inherited (On)" as it was inherited
from the default setting in the Base Policy.
• In this example, the state for the Web Reputation Protection Module is inherited from the parent policy, while the
other Protection Modules were turned on specifically in this child policy.
• The state for a Protection Module is always displayed as "Inherited (On)" until the module components are
installed on the Deep Security Agent.
• In this example, the state for the Web Reputation Protection Module is inherited from the parent policy, while the
other Protection Modules were turned on at the computer level.

21)Which of the following statements is true regarding the use of the Firewall Protection Module in Deep Security?
• The Firewall Protection Module can prevent DoS attacks originating from multiple systems.
• The Firewall Protection Module can identify suspicious byte sequences in packets.
• The Firewall Protection Module can detect and block Cross Site Scripting and SQL Injection attacks.
• The Firewall Protection Module can check files for certain characteristics such as compression and known exploit
code.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 6/22

 30/6/2020 lmsilt_ quiz.html

22) Based on the Computer settings displayed in the exhibit, which of the following statements is correct?

• Administrators performing maintenance on this server will require a password to disable the Deep Security Agent
service.
• The Deep Security Agent on this server will contact the Smart Protection Network directly to submit file features for
Predictive Machine Learning analysis.
• Recommendation Scans will be performed automatically on this server whenever new rules are downloaded from
the ActiveUpdate Server to determine if they must be applied.
• If this server does not communicate with Deep Security Manager for a specific period of time, it will be
automatically removed from the Computers list.

23) Which of the following statements is true regarding the Log Inspection Protection Module?
• Deep Security Agents forward Log Inspection event details to Deep Security Manager in real time.
• The Log Inspection Protection Module is supported in both Agent-based and Agentless implementations.
• Log Inspection can only examine new events and cannot examine logs entries created before the Protection Module was
enabled.
• Log Inspection can only examine Deep Security log information.

24) Why is a multi-node installation of Deep Security recommended?

• Since each Deep Security Manager server in a multi-node installations uses its own database, this type of
installation can balance the load of requests.
• Since multi-node installations distribute database information across multiple database servers, Deep Security can
easily scale to accomodate any number of Deep Security Agent servers.
• Multi-node installations are helpful in disaster recovery situations as each combination of Deep Security Manager
and database are clones of each other. When the original Deep Security Manager fails, the administrator can
immediately switch to a clone.
• Multi-node installations provide Deep Security with failover capabilities since a second Deep Security Manager can
handle all requests if the first one fails.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 7/22

 30/6/2020 lmsilt_ quiz.html

25) Which of the following VMware components is not required to enable agentless protection using Deep Security?
• VMware ESXi
• VMware NSX
• VMware vCenter
• VMware vRealize

26) The Intrusion Prevention Protection Module is enabled, but the traffic it is trying to analyze is encrypted through https.
How is it possible for the Intrusion Prevention Protection Module to monitor this encrypted traffic against the assigned
rules?

• It is possible to monitor the https traffic by creating an SSL Configuration. Creating a new SSL Configuration will
make the key information needed to decrypt the traffic available to the Deep Security Agent.
• The Intrusion Prevention Protection Module can analyze https traffic if the public certificate of the originating server
is imported into the certificate store on the Deep Security Agent computer.
• The Intrusion Prevention Protection Module can only analyze https traffic originating from other servers hosting a
Deep Security Agent.
• The Intrusion Prevention Protection Module is not able to analyze encrypted https traffic.

27) What is the purpose of the Deep Security Notifier?

• The Deep Security Notifier is a server component used in agentless configurations to allow Deep Security
Manager to notify managed computers of pending updates.
• The Deep Security Notifier is an application in the Windows System Tray that communicates the state of Deep
Security Agents and Relays to endpoint computers
• The Deep Security Notifier is an application in the Windows System Tray that displays the status of Deep Security
Manager during policy and software updates.
• The Deep Security Notifier is a server components that collects log entries from managed computers for delivery to
a configured SIEM device.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 8/22

 30/6/2020 lmsilt_ quiz.html

28) The "Protection Source when in Combined Mode" settings are configured for a virtual machine as in the exhibit. You
would like to enable Application Control on this virtual machine, but there is no corresponding setting displayed. Why?

• In the example displayed in the exhibit, the Application Control Protection Module has not yet been enabled. Once
it is enabled for this virtual machine, the corresponding settings are displayed.
• In the example displayed in the exhibit, the VMware Guest Introspection Service has not yet been installed. This
service is required to enable Application Control in agentless installations.
• These settings are used when both a host-based Agent and Agentless protection are available for the virtual
machine. Since Application Control is not supported in Agentless installations, there is no need for the setting.
• In the example displayed in the exhibit, no activation code was entered for Application Control. Since the
Protection Module is not licensed, the corresponding settings are not displayed.

29)
Policies in Deep Security can include a Context value. Which of the following statements regarding Context is correct?
• The Context provides Deep Security Agents with location awareness and is associated with Firewall and Intrusion
Prevention Rules.
• The Context provides Deep Security Agents with location awareness and is associated with Anti-Malware and
Web Reputation Rules.
• The Context provides Deep Security Agents with location awareness and is associated with Web Reputation Rules
only.
• The Context provides Deep Security Agents with location awareness and is associated with Log Inspection and
Integrity Monitoring Rules.

30)
How is caching used by the Web Reputation Protection Module?
• Caching is used by the Web Reputation Protection Module to temporarily store the pages that make up the Web
site. The Web site is cached in case the site is visited again within the life of the cache.
• Caching is used by the Web Reputation Protection Module to keep track of Web sites that are added to the
Allowed list. Any sites added to the Allowed list will be accessible by protected servers regardless of their
credibility score.
• Caching is used by the Web Reputation Protection Module to temporarily store the credibility score for a Web site.
The retrieved credibility score is cached in case the score for the Web site is required again for the life of the
cache.
file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 9/22
 30/6/2020 lmsilt_ quiz.html
• Caching is used by the Web Reputation Protection Module to keep track of Allowed and Blocked Web sites. Any
sites that are Allowed or Blocked do not require the retrieval of a credibility score from the Trend Micro Web
Reputation Service.

31)
While viewing the details of the Firewall Protection Module, as displayed in the exhibit, you note that a few rules have
already been assigned. You try to disable these rules, but they can not be unassigned. Why can the displayed rules not be
unassigned?

• The rules displayed in the exhibit have been hard-coded with the details of the policy. These rules will
automatically be assigned to all Firewall policies that are created and can not be unassigned.
• The rules displayed in the exhibit were assigned to the policy automatically when a Recommendation Scan was
run. Rules assigned through a Recommendation Scan can not be disabled once assigned.
• The rules displayed in the exhibit have been assigned to the policy at the parent level. Rules assigned to a parent
policy can not be unassigned at the child level.
• The rules displayed in the exhibit can not be unassigned as the administrator currently logged into the Deep
Security Manager Web console does not have the permissions necessary to unassign rules.

32) Which of the following Firewall rule actions will allow data packets to pass through the Firewall Protection Module without being
subjected to analysis by the Intrusion Prevention Protection Module?
• Deny
• Force Allow
• Bypass
• Allow

33) Which of the following correctly identifies the order of the steps used by the Web Reputation Protection Module to
determine if access to a web site should be allowed?
• Checks the Deny list.
2. Checks the Approved list.
3. Checks the cache.
4. If not found in any of the above, retrieves the credibility score from Rating Server.
5. Evaluates the credibility score against the Security Level to determine if access to the web site should be
allowed.
• Checks the cache.
2. Checks the Deny list.
3. Checks the Approved list.
4. If not found in any of the above, retrieves the credibility score from Web Reputation Service.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 10

/22
 30/6/2020 lmsilt_ quiz.html
5. Evaluates the credibility score against the Security Level to determine if access to the web site should be
allowed.
• Checks the Approved list.
2. Checks the Deny list.
3. Checks the cache.
4. If not found in any of the above, retrieves the credibility score from the Web Reputation Service.
5. Evaluates the credibility score against the Security Level to determine if access to the web site should be
allowed.
• Checks the cache.
2. Checks the Approved list.
3. Checks the Deny list.
4. If not found in any of the above, retrieves the credibility score from the Web Reputation Service.
5. Evaluates the credibility score against the Security Level to determine if access to the web site should be
allowed.

34) Which of the following statements is true regarding Deep Security Relays?
• Deep Security Agents communicate with Deep Security Relays to obtain security updates.
• Deep Security Relays are able to process Deep Security Agent requests during updates.
• Deep Security Agents promoted to Deep Security Relays no longer provide the security capabilities enabled by the
Protection Modules.
• Both 32-bit and 64-bit Deep Security Agents can be promoted to a Deep Security Relay.

35) Which of the following operations makes use of the Intrusion Prevention Protection Module?
• Application traffic control
• Stateful traffic analysis
• Port scans
• Integrity scans

36) Which of the following file types would not be evaluated by the Application Control Protection Module?
• .exe files
• .class files
• .py scripts
• .docx files

37) What is the default priority assigned to Firewall rules using the Allow action?
• Firewall rules using the Allow action always have a priority of 0.
• Firewall rules using the Allow action can be assigned a priority between 1 and 3.
• Firewall rules using the Allow action can be assigned a priority between 0 and 4.
• Firewall rules using the Allow action always have a priority of 4.

38) The maximum disk space limit for the Identified Files folder is reached. What is the expected Deep Security Agent
behavior in this scenario?
• Files will no longer be quarantined. Any new files due to be quarantined will be deleted instead.
• Deep Security Agents will delete the oldest files in this folder until 20% of the allocated space is available.
• Any existing files are in the folder are compressed and forwarded to Deep Security Manager to free up disk space.
• Deep Security Agents will delete any files that have been in the folder for more than 60 days.
Multiple Choice

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 11

/22
 30/6/2020 lmsilt_ quiz.html

39) Based on the script displayed in the exhibit, which of the following statements are correct? Select all that apply.

• Deep Security Agents deployed using this script are activated against a specific tenant.
• Deep Security Agents deployed using this script will be assigned a specific policy when activated.
• This script will deploy the Deep Security Agent on a server, but will not automatically activate it.
• Deep Security Agents deployed using this script will be activated against Tenant 0 in a multi-tenant environment.

40) The Overrides settings for a computer are displayed in the exhibit. Which of the following statements is true regarding
the displayed configuration?

• The Web Reputation and Application Control Protection Modules have been assigned a different policy that the
other Protection Modules and as a result, are displayed with overrides.
• The configuration for the Protection Modules is inherited from the policy assigned to this computer, except for the
configuration of the Web Reputation and Application Control Protection Modules which have been set at the
computer level.
• The Protection Modules identified as Inherited in the exhibit have not yet been configured. Only the Web
Reputation and Application Control Protection Modules have been configured.
• The Protection Modules identified as Inherited in the exhibit have not yet been enabled. Only the Web Reputation
and Application Control Protection Modules have been enabled at this point.
file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 12
/22
 30/6/2020 lmsilt_ quiz.html

41) The Security Level for Web Reputation in a policy is set to High. A server assigned this policy attempts to access a
Web site with a credibility score of 78. What is the result?
• The Deep Security Agent allows access as the credibility score for the Web site is above the allowed threshold.
• The Deep Security Agent displays a warning message as the site is unrated.
• The Deep Security Agent blocks access as the credibility score for the Web site is below the allowed threshold. An
error page is displayed in the Web browser.
• The Deep Security Agent allows access to the Web site, and logs the connection attempt as an event.

42) Which of the following statements is true regarding Intrusion Prevention rules?
• Intrusion Prevention rules can block unrecognized software from executing.
• Intrusion Prevention rules check for the IP addresses of known malicious senders within a packet.
• Intrusion Prevention rules can detect or block traffic associated with specific applications, such as Skype or file-sharing
utilities.
• Intrusion Prevention rules monitor the system for changes to a baseline configuration.
43) The Intrusion Prevention Protection Module is enabled, its behavior is set to Prevent and rules are assigned. When
viewing the events, you notice that one of Intrusion Prevention rules is being triggered and an event is being logged but
the traffic is not being blocked. What is a possible reason for this?
• The Deep Security Agent is experiencing a system problem and is not processing packets since the "Network
Engine System Failure" mode is set to "Fail Open".
• The Intrusion Prevention rule is being triggered as a result of the packet sanity check failing and the packet is
being allowed to pass.
• The default Prevention Behavior in this particular rule may be set to Detect. This logs the triggering of the rule, but
does not actually enforce the block.
• The network engine is running in Inline mode. In Inline mode, Deep Security provides no protection beyond a
record of events.

44) Multiple Application Control events are being displayed in Deep Security after a series of application updates and the
administrator would like to reset Application Control. How can this be done?
• On the Deep Security Agent computer, type the following command to reset Application Control: dsa_control -r
• Application Control can be reset by disabling the Protection Module, then enabling it once again. This will cause
local rulesets to be rebuilt.
• Click "Clear All" on the Actions tab in the Deep Security Manager Web console to reset the list of Application
Control events.
• Application Control cannot be reset.

45) An administrator enables Multi-Tenancy in Deep Security and creates multiple tenants. After a period of time, the
administrator would like to review the usage and resource consumption by a specific tenant. How can the administrator
retrieve this information?
• The administrator could check the Multi-Tenancy log file for resource consumption details.
• The administrator downloads the Tenant usage details from the Deep Security Agent on the Tenant computer.
• The administrator will not be able retrieve this information without licensing and enabling the Multi-Tenancy
Chargeback module in the Deep Security Manager Web console.
• The administrator could generate a Tenant report from within the Deep Security Manager Web console.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 13

/22
 30/6/2020 lmsilt_ quiz.html

46) Which of the following is not an operation that is performed when network traffic is intercepted by the network driver on
the Deep Security Agent?
• Verify the integrity of the packet to insure the packet is suitable for analysis.
• Verify the packet is not part of a reconnaissance scan used to discover weaknesses on the Deep Security Agent
host computer.
• Compare the data in the packet against the Anti-Malware Scan Configuration to verify whether any of the data
related to files and folders on the Exclusion list.
• Analyze the packet within the context of traffic history and connection state.

47) When viewing the details for a policy, as displayed in the exhibit, you notice that the Application Control Protection
Module is not available. In this example, why would this Protection Modules not be available?

• The Application Control Protection Module is only supported on Linux computers, the policy details displayed are
for Windows computers only.
• An Activation Code for the Application Control Protection Module has not been provided. Unlicensed Protection
Modules will not be displayed.
• The Application Control Protection Module has been disabled at the Base Policy level and is not displayed in the
details for child policies.
• The Application Control Protection Modules has not been enabled for this tenant.

48) Where does Deep Security Manager store the credentials it uses to access the database?
• In the dsm.properties file
• In the database.properties file
• In the Windows Registry
• Deep Security Relays are able to process Deep Security Agent requests during updates.

49) Your organization would like to implement a mechanism to alert administrators when files on a protected servers are
modified or tampered with. Which Deep Security Protection Module should you enable to provide this functionality?
• The File Inspection Protection Module
• The Intrusion Prevention Protection Module
• The Integrity Monitoring Protection Module
• Deep Security can not provide this type of functionality
file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 14
/22
 30/6/2020 lmsilt_ quiz.html

50) Which of the following statements is true regarding Maintenance Mode in the Application Control Protection Module?
• When in Maintenance Mode, the Application Control Protection Module will continue to block software identified in
Block rules, but will allow new and changed applications to be added to the software inventory.
• While in Maintenance Mode, all Block and Allow rules are ignored while new or updated applications are added to
the software inventory.
• When enabled, Maintenance Mode rescans the protected computer to rebuild the software inventory. Any new or
changed software will be included in this rebuilt inventory
• Maintenance Mode can be configured as a scheduled event. In this scenario, all software upgrades will be
performed at the same time every day to avoid creating alerts for normal software updates.

1 ¿Cuál de las siguientes afirmaciones es verdadera con respecto a los relés

de seguridad profunda?

■ Los agentes de seguridad profunda promovidos a relés de seguridad

profunda ya no brindan las capacidades de seguridad habilitadas por los

■
módulos de protección.

Los relés de seguridad profunda pueden procesar solicitudes de

■
agentes de seguridad profunda durante las actualizaciones .

Tanto los agentes de seguridad profunda de 32 bits como los de 64 bits

■
pueden promoverse a un relé de seguridad profunda.

Los agentes de seguridad profunda se comunican con los relés de

seguridad profunda para obtener actualizaciones de seguridad.

2 ¿Cuál es el propósito del Deep Security Notifier?

■ Deep Security Notifier es una aplicación en la bandeja del sistema de

Windows que comunica el estado de los agentes y relés de seguridad

■
profunda a las computadoras de punto final.

Deep Security Notifier es un componente del servidor que recopila

entradas de registro de las computadoras administradas para entregarlas a

■
un dispositivo SIEM configurado.

Deep Security Notifier es un componente del servidor que se usa en

configuraciones sin agente para permitir que Deep Security Manager

■
notifique a las computadoras administradas las actualizaciones pendientes.

Deep Security Notifier es una aplicación en la bandeja del sistema de

Windows que muestra el estado de Deep Security Manager durante las
actualizaciones de políticas y software.

3 Según el ajuste de configuración resaltado en la exposición, ¿qué

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 15
/22
30/6/2020 lmsilt_ quiz.html
comportamiento se puede esperar durante un análisis de malware?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 16

/22
30/6/2020 lmsilt_ quiz.html

■ Con la configuración resaltada habilitada , los agentes de seguridad

profunda analizarán los archivos en busca de malware conocido, así como
el malware recién encontrado, accediendo a la Lista de objetos

■
sospechosos.

With the highlighted setting enabled, Deep Security Agents will scan
files for viruses and malware using supplementary aggressive detection

■
pattern files.

With the highlighted setting enabled, Deep Security Agents will scan
files for known viruses and malware using patterns and any files deemed
suspicious will be submitted to a configured Deep Discovery Analyzer for

■
further analysis.

With the highlighted setting enabled, Deep Security Agents will scan
files for unknown malware using Predictive Machine Learning.

4 Which of the following statements is true regarding the Log lnspection

Protection Module?

■ The Log lnspection Protection Module is supported in both Agent-based and

Agentless implementations.

■ Deep Security Agents forward Log lnspection Event details to Deep

■
Security Manager in real time.

Log lnspection can only examine Deep Security log information.

Log lnspection can only examine new Events and cannot examine logs
entries created befare the Protection Module was enabled.

5 The lntrusion Prevention Protection Module is enabled, its Behavior is set to

Prevent and rules are assigned. When viewing the events, you notice that
one of lntrusion Prevention rules is being triggered and an event is being
logged but the traffic is not being blocked. What is a possible reason for this?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 17

/22
 ■
lmsilt_ quiz.html
30/6/2020
The default Prevention Behavior in this particular rule may be set to

Detect. This logs the triggering of the rule, but does not actually enforce the

■
block.

The network engine is running in lnline mode. In lnline mode, Deep

■
Security provides no protection beyond a record of events.

The lntrusion Prevention rule is being triggered as a result of the packet

■
sanity check failing and the packet is being allowed to pass.

The Deep Security Agent is experiencing a system problem and is not

processing packets since the "Network Engine System Failure" mode is set
to "Fail Open".

6 Which of the following is NOT an operation that can be performed on Deep

Security resources using the API?

■
■
POST

PUT

■ GET

v1Ew

7 What is the result of performing a Reset operation on a Deep Security Agent?

■ A Reset operation forces an update to the Deep Security Agent

software installed on a managed computer.

■ A Reset operation forces the Deep Security Agent service to restart on

■
the managed computer.

A Reset operation wipes out any Deep Security Agent settings,

■
including its relationship with Deep Security Manager.

A Reset operation generates Event information that can be used to

troubleshoot Agent-to -Manager communication issues.

8 A collection of servers protected by Deep Security do not have Internet

access. How can Smart Scan be used on these computers.

■ Promote one of the Deep Security Agents on the air gapped computers to
become a Relay.

■ Smart Scan can be configured to use a local pattern file containing the

■
same information as the Smart Protection Network.

Smart Scan must contact the Smart Protection Network to function . Any

■
servers without Internet access will be unable to use Smart Scan.

lnstall a Smart Protection Server in the environment and set it as the source
far File Reputation information.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 3/22

30/6/2020 lmsilt_ quiz.html

9 Which of the following are valid methods for forwarding Event information
from Deep Security? Select all that apply.

■
■
Deep Security Application Programming Interface (API)

Security lnformation and Event Management (SIEM)

■ Simple Network Management Protocol (SNMP)

Amazon Simple Notification Service (SNS)

1O Recommendation scans can detect applications and/or vulnerabilities on

servers on the network. Which of the following Protection Modules make use
of Recommendation scans?

■
■
Log lnspection , Application Control, and lntrusion Prevention

lntrusion Prevention, Firewall, lntegrity Monitoring and Log lnspection

■ lntrusion Prevention, lntegrity Monitoring, and Log lnspection

Firewall, Application Control, and lntegrity Monitoring

11 Which of the following file types would not be evaluated by the Application
Control Protection Module?

■
■
.exe files

.docx files

■ .class files
.py scripts

12 Which of the following correctly identifies the order of the steps used by the
Web Reputation Protection Module to determine if access to a web site
should be allowed?

■ 1. Checks the Deny list. 2. Checks the Approved list. 3. Checks the cache. 4. lf
not found in any of the above, retrieves the credibility score from
Rating Server. 5. Evaluates the credibility score against the Security Level to

■
determine if access to the web site should be allowed.

1. Checks the cache. 2. Checks the Approved list. 3. Checks the Deny
list. 4. lf not found in any of the above, retrieves the credibility score from the
Rating Server. 5. Evaluates the credibility score against the Security Level to
determine if access to the web site should be allowed.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 4/22

 ■
lmsilt_ quiz.html
30/6/2020
1. Checks the cache. 2. Checks the Deny list. 3. Checks the Approved

list. 4. lf not found in any of the above, retrieves the credibility score from
Rating Server. 5. Evaluates the credibility score against the Security Level to

■
determine if access to the web site should be allowed.

1. Checks the Approved list. 2. Checks the Deny list. 3. Checks the cache. 4. lf
not found in any of the above, retrieves the credibility score from the Rating
Server. 5. Evaluates the credibility score against the Security Level to determine if
access to the web site should be allowed.

13 Why is a multi-node installation of Deep Security recommended?

■ Since each Deep Security Manager server in a multi-node installations uses

its own database, this type of installation can balance the load of

■
requests.

Las instalaciones de múltiples nodos son útiles en situaciones de

recuperación ante desastres, ya que cada combinación de Deep Security
Manager y la base de datos son clones entre sí. Cuando falla el Deep
Security Manager original, el administrador puede cambiar inmediatamente

■
a un clon.

Las instalaciones de varios nodos proporcionan a Deep Security

capacidades de conmutación por error, ya que un segundo Deep Security

■
Manager puede manejar todas las solicitudes si falla la primera.

Dado que las instalaciones de múltiples nodos distribuyen información

de la base de datos a través de múltiples servidores de bases de datos,
Deep Security puede escalar fácilmente para acomodar cualquier número
de servidores de Deep Security Agent.

14 Los detalles de un evento se muestran en la exposición . Según estos

detalles, ¿qué módulo de protección generó el evento?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 5/22

30/6/2020 lmsilt_ quiz.html

■
■
Prevención de intrusiones

Cortafuegos

■ Reputación web
Monitoreo de integridad

15 Los detalles de un evento se muestran en la exposición. Según estos

detalles, ¿qué módulo de protección generó el evento?

Prevención de intrusiones

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 6/22

30/6/2020
■ Monitoreo de integridad
lmsilt_ quiz.html

■ Inspección de registro

Cortafuegos

16.- la política que se muestra en la exposición, el estado del módulo de protección

de reputación web se establece en "Heredado (activado)", mientras que el
estado del otro módulo de protección se establece en "activado". ¿Por qué el
módulo de protección de reputación web se muestra de manera diferente a los
otros módulos de protección?

■ En este ejemplo, el estado del módulo de protección de reputación web se

hereda de la política principal, mientras que los otros módulos de

■
protección se activaron a nivel de computadora.

En este ejemplo, el estado del Módulo de protección de reputación web

aparece como "Heredado (Activado)", ya que se hereda de la configuración

■
predeterminada en la Política básica.

El estado de un Módulo de Protección siempre se muestra como

"Heredado (Activado)" hasta que los componentes del módulo se instalen

■
en Deep Security Agent.

En este ejemplo, el estado del módulo de protección de reputación web

se hereda de la política principal, mientras que los otros módulos de
protección se activaron específicamente en esta política secundaria.

17 Un administrador intenta activar el Deep Security Agent instalado en un

servidor escribiendo el siguiente comando en el Símbolo del sistema en la
computadora del Deep Security Agent:
dsa control -a dsm: //server1 .acme.com: 4120
El Agente no se activa como se esperaba . ¿Cuál es una razón válida para este
problema?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 7/22

30/6/2020 lmsilt_ quiz.html

■ "Permitir activación iniciada por el agente" actualmente no está

habilitado en Deep Security Manager.

■ Los agentes de seguridad profunda no se pueden activar a través del

símbolo del sistema. Deben activarse a través de la consola web de Deep

■
Security Manager o mediante un script de implementación.

El comando listado solo puede ejecutarse desde el Símbolo del

■
sistema en la computadora de Deep Security Manager.

Se usó el puerto incorrecto. El comando correcto sería: dsa_control -a

dsm: //server1.acme.com: 4118

18 añds nivel de seguridad para la reputación web en una política está establecido
en Alto. Un servidor asignado a esta política intenta acceder a un sitio web
con un puntaje de credibilidad de 78. ¿Cuál es el resultado?

■ Deep Security Agent muestra un mensaje de advertencia cuando el sitio

no está calificado.

■ Deep Security Agent permite el acceso al sitio web y registra el intento

■
de conexión como un evento.

Deep Security Agent bloquea el acceso ya que el puntaje de

credibilidad para el sitio web está por debajo del umbral permitido. Se

■
muestra una página de error en el navegador web.

Deep Security Agent permite el acceso ya que el puntaje de

credibilidad para el sitio web está por encima del umbral permitido.

19 ¿Cuál de las siguientes afirmaciones es falsa con respecto al Módulo de

protección de inspección de registros?

■ El módulo de protección de inspección de registros es compatible tanto en

entornos basados en agentes como sin agentes.

■ Deep Security Manager recopila eventos de inspección de registros de

■
los agentes de seguridad profunda en cada instante.

Las reglas de inspección de registros personalizados se pueden crear

■
utilizando el estándar de seguridad de código abierto (OSSEC).

Buscar recomendaciones identifica las reglas de inspección de

registros que Deep Security debe implementar.

20 Se ejecuta una exploración de recomendaciones para determinar qué reglas

de prevención de intrusiones son apropiadas para un servidor. El escaneo
está configurado para aplicar las reglas sugeridas automáticamente y los
escaneas en curso están habilitados. Algún tiempo después, se aplica un

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 8/22

30/6/2020 lmsilt_ quiz.html

parche del sistema operativo. ¿Cómo puede determinar qué reglas de prevención de
intrusiones ya no son necesarias en este servidor?

■ Dado que las reglas se aplican automáticamente , cuando se ejecute

automáticamente la siguiente Exploración de recomendaciones de
prevención de intrusiones, las reglas que ya no son necesarias quedarán
automáticamente sin asignar. Estas son reglas que ya no son necesarias ya

■
que la vulnerabilidad se corrigió con el parche.

Dado que las reglas se aplican automáticamente, cuando se ejecute

automáticamente el siguiente Análisis de recomendación de prevención de
intrusiones , las reglas que ya no scan necesarias se mostrarán en la
pestaña Recomendado para no asignar en las Reglas IPS. Estas son reglas
que ya no son necesarias y pueden deshabilitarse ya que la vulnerabilidad

■
se corrigió con el parche.

Dado que no hay efecto de rendimiento cuando se aplican múltiples

reglas de Prevención de intrusiones, no es necesario determinar qué reglas
ya no son necesarias . Las reglas recomendadas originales pueden

■
permanecer en su lugar sin afectar el sistema.

El archivo READ ME proporcionado con el parche de software indicará

qué problemas se abordaron con esta versión. Compare esta lista con las
reglas que se aplican para determinar qué reglas ya no son necesarias y se
pueden deshabilitar.

21 Según los detalles del evento que se muestra en la exposición, ¿cuál de las
siguientes afirmaciones es falsa?

■ Los módulos de protección de prevención de intrusiones deben estar

■
habilitados para detectar exploraciones de reconocimiento.

El escaneo puede generarse a partir de una dirección IP que puede

conocer. Si es así, la dirección IP de origen se puede agregar a la lista

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 9/22

30/6/2020 lmsilt_ quiz.html

■
blanca de reconocimiento.

Puede crear una regla de firewall para bloquear permanentemente el

■
tráfico desde la dirección IP de origen.

Puede indicar a los agentes y dispositivos de seguridad profunda que

bloqueen el tráfico de la dirección IP de origen durante un período de
tiempo.

22 Al ver los detalles de una política, como se muestra en la exposición, observa

que el Módulo de protección de control de aplicaciones no está disponible.
En este ejemplo, ¿por qué estos módulos de protección no estarían
disponibles?

■ No se ha proporcionado un código de activación para el módulo de

protección de control de aplicaciones. Los módulos de protección sin

■
licencia no se mostrarán.

El Módulo de protección de control de aplicaciones se ha deshabilitado

en el nivel de Política básica y no se muestra en los detalles de las políticas

■
secundarias.

El módulo de protección de control de aplicaciones no se ha habilitado

■
para este inquilino.

Application Control Protection Module solo es compatible con

computadoras Linux, los detalles de la política que se muestran son solo
para computadoras Windows .

23 Según la configuración de análisis de malware que se muestra en la

exposición, cuál de las siguientes afirmaciones es falsa .

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 10/22

30/6/2020 lmsilt_ quiz.html

■ Se requiere acceso a Internet para habilitar adecuadamente las

funciones identificadas en esta configuración.

■ Los agentes de seguridad profunda que utilizan esta configuración de

escaneo de malware no supervisarán los procesos comprometidos de

■
Windows.

Los agentes de seguridad profunda solo podrán identificar malware en

los archivos mediante el uso de patrones descargados de la red de

■
protección inteligente.

Cualquier archivo de documento que muestre un comportamiento

sospechoso se enviará y ejecutará en un entorno de espacio aislado en un
dispositivo Deep Discover Analyzer.

24 ¿Cuál de las siguientes afirmaciones es falsa con respecto a las reglas de

Firewall que usan la acción Anular?

■ Las reglas de firewall que utilizan la acción de omisión permiten que el

tráfico entrante omita tanto el análisis de firewall como el de prevención de

■
intrusiones.

Las reglas de firewall que utilizan la acción de omisión se pueden

optimizar, permitiendo que el tráfico fluya de manera tan eficiente como si

■
no hubiera un agente de seguridad profundo.

Las reglas de firewall que utilizan la acción de omisión no generan

■
eventos de registro.

La aplicación de una regla de Firewall usando la acción Anular al tráfico

en una dirección aplica automáticamente la misma acción al tráfico en la
otra dirección.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 11/22

30/6/2020 lmsilt_ quiz.html

25 Su organización desea implementar un mecanismo para alertar a los

administradores cuando los archivos en un servidor protegido se modifican o
alteran. ¿Qué módulo de protección de seguridad profunda debería habilitar
para proporcionar esta funcionalidad?

■
■
Deep Security no puede proporcionar este tipo de funcionalidad

El Módulo de Protección de Monitoreo de Integridad

■ El módulo de protección de inspección de archivos

El módulo de protección de prevención de intrusiones

26 ¿Qué módulos de protección pueden hacer uso de un servidor de protección

inteligente instalado localmente?

■ Los módulos de protección contra malware, reputación web y

prevención de intrusiones pueden utilizar el servidor de protección

■
inteligente instalado localmente.

Anti-Malware es los únicos módulos de protección que pueden usar el

■
servidor de protección inteligente instalado localmente.

Los módulos de protección contra malware y reputación web pueden

■
utilizar el servidor de protección inteligente instalado localmente.

Todos los módulos de protección pueden hacer uso del servidor de

protección inteligente instalado localmente.

27 ¿Cómo varía Smart Scan del análisis antimalware basado en patrones

convencionales?

■ Smart Scan cambia gran parte de la funcionalidad de escaneo de

malware a un Servidor de Protección Inteligente externo.

■ Smart Scan mejora la tasa de captura de escaneo de malware al enviar

características de archivos sospechosos a un servidor basado en la nube
donde las características se comparan con muestras de malware

■
conocidas.

El escaneo inteligente se realiza en tiempo real, donde el escaneo

■
convencional debe activarse manualmente o ejecutarse en un horario.

Smart Scan identifica los archivos a escanear en función del contenido

del archivo, no de la extensión.

28 ¿Cuáles de los siguientes son métodos válidos para la aprobación previa de

actualizaciones de software para evitar que la ejecución del software
modificado active eventos de control de aplicaciones? Seleccione todas las
que correspondan.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 12/22

 ■
30/6/2020 lmsilt_ quiz.html

Las actualizaciones de software realizadas por Trusted Updater se

■
aprobarán automáticamente .

El modo de mantenimiento se puede habilitar al completar las

■
actualizaciones.

Una vez que la exploración de inventario se ha ejecutado cuando

Application Control se habilita por primera vez, no hay forma de actualizar el

■
inventario para incorporar software modificado.

Edite el archivo de la base de datos de inventario (AC.db) en la

computadora del Agente para incluir el hash del software recientemente
actualizado. Guarde el cambio y reinicie Deep Security Agent. Las
actualizaciones de software ahora serán aprobadas.

29 ¿Cuál de las siguientes afirmaciones identifica correctamente el propósito del

Módulo de Protección de Monitoreo de Integridad?

■ El Módulo de Protección de Monitoreo de Integridad monitorea el

tráfico para verificar la integridad del tráfico entrante para identificar
desviaciones de protocolo, fragmentos de paquetes y otras anomalías de

■
protocolo.

El Módulo de Protección de Monitoreo de Integridad monitorea objetos

críticos del sistema operativo tales como servicios, procesos, claves de
registro y puertos para detectar e informar cambios maliciosos o

■
inesperados .

El Módulo de Protección de Monitoreo de Integridad monitorea el

tráfico entrante para confirmar la integridad de la información del

■
encabezado, incluidos los detalles del origen y el destino del paquete.

El Módulo de Protección de Monitoreo de Integridad monitorea y

analiza la integridad de los registros de la aplicación para identificar
alteraciones, corrupción y otras modificaciones sospechosas a los registros.

30 ¿Cuál de los siguientes describe correctamente la regla de Firewall Acción

de Force Allow?

■ Force Allow permite que el tráfico omita el análisis de todos los

módulos de protección de seguridad profunda.

■ Forzar permiso permite que pase el tráfico que de otro modo sería
denegado por otras reglas de Firewall, pero que aún impone el filtrado por

■
el Módulo de protección de prevención de intrusiones.

Force Allow permite explícitamente que pase el tráfico que coincide con

■
la regla de Firewall y niega implícitamente el resto del tráfico.

Forzar permiso permite que el tráfico omita el análisis de los módulos

de protección de prevención de intrusos y firewall.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 13/22

30/6/2020 lmsilt_ quiz.html

31 ¿Cuál de las siguientes afirmaciones es verdadera con respecto a los inventarios

de software utilizados como parte del Módulo de Protección de Control de
Aplicaciones?

■ Un administrador puede compartir el inventario de software permitido con

otras computadoras protegidas por Deep Security Agents, copiando el

■
archivo de base de datos de inventario (ac.db) de la computadora fuente .

Cuando un administrador permite un software que de otro modo estaría

bloqueado por el Modo de aplicación, no se agrega al inventario de
software aprobado. En cambio, se agrega a la lista blanca de esa

■
computadora.

Un administrador puede ver la lista de software permitido en el

■
inventario desde la pestaña Detalles para cada computadora individual.

Deshabilite el Módulo de protección de control de aplicaciones al

instalar actualizaciones de software; de lo contrario, se impedirá la
instalación del nuevo software.

32 ¿Cuál de los siguientes componentes de VMware no es necesario para

habilitar la protección sin agente con Deep Security?

■
■
VMware vRealize

VMware NSX

■ VMware ESXi
VMware vCenter

33 ¿Cuál de las siguientes acciones de la regla de firewall permitirá que los

paquetes de datos pasen a través del módulo de protección de firewall sin
estar sujetos a análisis por parte del módulo de protección de prevención de
intrusiones?

■
■
Derivación

Permitir

■ Permitir fuerza

Negar

34 Su organización almacena archivos PDF y Microsoft Office dentro de la

plataforma SAP Netweaver y requiere que estos documentos sean
escaneados en busca de malware. ¿Qué componente de seguridad profunda
se requiere para satisfacer este requisito?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 14/22

30/6/2020 lmsilt_ quiz.html

■ No se requieren componentes adicionales, esto se puede hacer

habilitando el Módulo de Protección Anti-Malware en el servidor SAP

■
Netweaver.

■
Se requiere Deep Security Scanner.

El complemento de Netweaver debe instalarse en Deep Security Agent.

Se debe instalar y configurar un Servidor de Protección Inteligente para

dar servicio a la plataforma SAP Netweaver.

35 La configuración de Anulaciones para una computadora se muestra en la

exposición. ¿Cuál de las siguientes afirmaciones es verdadera con respecto
a la configuración mostrada?

■ Los módulos de protección identificados como heredados en la

exposición aún no se han habilitado. En este punto, solo se han habilitado

■
los módulos de protección de control de aplicaciones y reputación web.

Los módulos de protección identificados como heredados en la

exposición aún no se han configurado. Solo se han configurado los módulos

■
de protección de control de aplicaciones y reputación web.

A los Módulos de Protección de Control de Aplicaciones y Reputación

Web se les ha asignado una política diferente que los otros Módulos de

■
Protección y, como resultado, se muestran con anulaciones.

La configuración de los Módulos de Protección se hereda de la política

asignada a esta computadora, excepto por la configuración de los Módulos
de Protección de Reputación Web y Control de Aplicaciones que se han
establecido a nivel de computadora.

36 ¿Cuál de las siguientes afirmaciones es verdadera con respecto al Módulo

de protección de prevención de intrusiones?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 15/22

 ■
lmsilt_ quiz.html
30/6/2020
El módulo de protección de prevención de intrusiones puede identificar
los cambios aplicados a los objetos protegidos, como el archivo Hosts o el

■
registro de Windows.

El módulo de protección de prevención de intrusiones analiza la carga

útil dentro de los paquetes de datos entrantes y salientes para identificar el

■
contenido que puede indicar un ataque.

El módulo de protección de prevención de intrusiones bloquea o

permite el tráfico en función de la información del encabezado dentro de los

■
paquetes de datos.

El módulo de protección de prevención de intrusiones puede evitar que

las aplicaciones se ejecuten, lo que permite que una organización bloquee
software no permitido.

37 Según la siguiente exposición, qué comportamiento esperaría para el Módulo

de protección de control de aplicaciones

■ Dado que esta computadora está en modo de mantenimiento, el control

de aplicaciones permitirá que cualquier software bloqueado se ejecute

■
temporalmente.

Dado que esta computadora está en modo de mantenimiento, se

aplicarán las actualizaciones del módulo de protección de control de

■
aplicaciones.

Dado que esta computadora está en modo de mantenimiento, el

software nuevo o modificado se agregará automáticamente a la lista de

■
software permitido en el conjunto de reglas actualmente activo.

Dado que esta computadora está en modo de mantenimiento, el control

de aplicaciones ignorará cualquier software bloqueado en el conjunto de
reglas actualmente activo.

38 Su entorno VMware está configurado sin usar NSX. ¿Cómo puede Deep
Security proporcionar protección a las imágenes virtuales alojadas en sus
servidores ESXi?

Sin NSX, no podrá utilizar Deep Security para proteger sus máquinas

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 16/22

30/6/2020 lmsilt_ quiz.html

■
virtuales.

Sin NSX, solo puede habilitar la protección Anti-Malware e lntegrity

Monitoring en las máquinas virtuales. Se requiere NSX para admitir la

■
prevención de intrusiones, el firewall y la reputación web

Sin NSX, se debe instalar un agente de seguridad profunda en cada

■
máquina virtual alojada en el servidor ESXi.

Puede instalar un dispositivo virtual de seguridad profunda en el

servidor ESXi. Esto proporcionará soporte sin agente para Anti-Malware ,
Prevención de intrusiones, Monitoreo de integridad, Firewall y Reputación
web.

39 ¿Cuál de las siguientes afirmaciones sobre el módulo de protección de

monitoreo de integridad es verdadera?

■ Se supone que cualquier cambio en los objetos del sistema monitoreado

que se detectan después de que se ejecuta un Análisis de

■
recomendación en la computadora protegida es malicioso.

Las reglas de Monitoreo de integridad incluyen una propiedad que

identifica si se realizó un cambio en un objeto del sistema monitoreado

■
como parte de una operación legítima.

Se supone que cualquier cambio en los objetos del sistema

monitoreados por el Módulo de Protección de Monitoreo de Integridad e s
legítimo, sin embargo, un administrador puede revisar el estado de la
modificación del objeto a Malicioso durante una revisión de los Eventos de

■
Monitoreo de Integridad.

El Módulo de Protección de Monitoreo de Integridad puede detectar

cambios en el sistema, pero carece de la capacidad de distinguir entre
cambios legítimos y maliciosos.

40 ¿Qué producto de Trend Micro ofrece escaneo de contenedores antes del

tiempo de ejecución?

■
■
Escáner de seguridad profunda

Gerente de seguridad profunda

■ Control inteligente de seguridad profunda

Agente de seguridad profunda

41 ¿Cómo utiliza el almacenamiento en caché el módulo de protección de

reputación web?

El módulo de protección de reputación web utiliza el almacenamiento en

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 17/22

30/6/2020 lmsilt_ quiz.html

caché para almacenar temporalmente el puntaje de credibilidad de un sitio

web. El puntaje de credibilidad recuperado se almacena en caché en caso
de que el puntaje para el sitio web se vuelva a requerir para la vida útil del

■
caché.

El módulo de protección de reputación web utiliza el almacenamiento en

caché para almacenar temporalmente las páginas que componen el sitio
web. El sitio web se almacena en caché en caso de que se vuelva a visitar

■
durante la vida útil de la caché.

El módulo de protección de reputación web utiliza el almacenamiento en

caché para realizar un seguimiento de los sitios web que se agregan a la
lista Permitidos. Los servidores protegidos podrán acceder a todos los sitios
agregados a la lista Permitidos independientemente de su puntaje de

■
credibilidad.

El módulo de protección de reputación web utiliza el almacenamiento en

caché para realizar un seguimiento de los sitios web permitidos y
bloqueados. Los sitios permitidos o bloqueados no requieren la
recuperación de un puntaje de credibilidad del Servicio de reputación web
de Trend Micro.

42 ¿Cuál es el propósito del archivo override.properties?

■ Este archivo se utiliza para transferir configuraciones de políticas de una

instalación de Deep Security Manager a otra.

■ Este archivo permite que las propiedades se prueben en Deep Security

■
Manager sin afectar la configuración original.

Este archivo contiene las propiedades de configuración originales listas

para usar para Deep Security Manager. Este archivo se renombra a

■
dsm.properties tras la inicialización de Deep Security Manager.

Este archivo permite que los agentes de seguridad profunda anulen el

comportamiento forzado al proporcionar nuevos detalles de configuración
de políticas.

43 ¿Cuál es el efecto de la regla de Firewall que se muestra en la siguiente

exposición?

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 18/22

30/6/2020 lmsilt_ quiz.html

■ Esta regla permitirá la comunicación TCP y UDP saliente desde este

servidor.

■ Esta regla permitirá la comunicación entrante a este servidor, pero no

■
TCP y UPO.

Esta regla permitirá la comunicación entrante TCP y UDP a este

■
servidor.

Esta regla permitirá respuestas TCP y UPO a solicitudes que se

originen en este servidor.

44 ¿Cuál de las siguientes afirmaciones es verdadera con respecto a la

protección de prevención de intrusiones?

■ La protección de prevención de intrusiones puede interrumpir o

restablecer una conexión.

■ La protección de prevención de intrusiones puede descartar paquetes

■
maliciosos pero no puede restablecer la conexión.

La protección de prevención de intrusiones solo funciona junto con el

■
módulo de protección contra malware.

La protección de prevención de intrusiones solo puede funcionar en

computadoras donde está instalado un agente de seguridad profunda; la
protección sin agente no es compatible.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 19/22

30/6/2020 lmsilt_ quiz.html

45 Mientras ve los detalles del Módulo de protección de firewall, como se

muestra en la exposición, observa que ya se han asignado algunas reglas.
Intenta deshabilitar estas reglas, pero no se pueden asignar. ¿Por qué las
reglas mostradas no se pueden asignar?

■ Las reglas que se muestran en la exposición han sido codificadas con los
detalles de la política. Estas reglas se asignarán automáticamente a

■
todas las políticas de Firewall que se creen y no se pueden asignar.

Las reglas que se muestran en la exposición se han asignado a la

política en el nivel primario. Las reglas asignadas a una política principal no

■
se pueden asignar en el nivel secundario.

Las reglas que se muestran en la exposición no se pueden asignar, ya

que el administrador actualmente conectado a la consola web de Deep
Security Manager no tiene los permisos necesarios para cancelar la

■
asignación de reglas.

Las reglas que se muestran en la exposición se asignaron a la política

automáticamente cuando se ejecutó un Análisis de recomendaciones . Las
reglas asignadas a través de una Exploración de recomendaciones no se
pueden deshabilitar una vez asignadas.

46 ¿Dónde almacena Deep Security Manager las credenciales que usa para
acceder a la base de datos?

■
■
En el archivo logging.properties

En el registro de Windows

■ En el archivo database.properties

En el archivo dsm.properties

47 ¿Cuál de las siguientes no es una operación que se realiza cuando el tráfico

de red es interceptado por el controlador de red en Deep Security Agent?

Verifique la integridad del paquete para asegurar que el paquete sea

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 20/22

30/6/2020 lmsilt_ quiz.html

■
adecuado para el análisis.

Compare los datos en el paquete con la configuración de escaneo anti-

malware para verificar si alguno de los datos está relacionado con archivos

■
y carpetas en la lista de Exclusión.

Analice el paquete dentro del contexto del historial de tráfico y el

■
estado de la conexión.

Verifique que el paquete no sea parte de un escaneo de

reconocimiento utilizado para descubrir debilidades en la computadora host
del Deep Security Agent.

48 ¿Cuál de las siguientes afirmaciones describe correctamente las carpetas

inteligentes?

■ Las carpetas inteligentes identifican las carpetas que se analizarán

cuando se ejecute un análisis de malware en tiempo real, manual o

■
programado.

Las carpetas inteligentes son una colección de subcarpetas que

contienen la configuración de la política que se aplica a las políticas

■
secundarias o directamente a las computadoras.

Las carpetas inteligentes son los contenedores utilizados para

almacenar los resultados de los escaneas de recomendaciones. Una vez
que se ha completado un Análisis de recomendaciones, el administrador
puede hacer clic en una Carpeta inteligente y seleccionar cuáles de las

■
reglas recomendadas aplicar.

Las carpetas inteligentes actúan como una búsqueda guardada de

computadoras que se ejecuta cada vez que se hace clic en la carpeta para
mostrar su contenido.

49 ¿Cuál de los siguientes elementos debe incluirse en cualquier solicitud de

recursos que se realice a través de la API de Deep Security? Seleccione
todas las que correspondan.

■
■
ClaveAPI

■
Contraseña de administrador

Versión API

URL del recurso habilitado para API

50 ¿Cómo se usa el almacenamiento en caché de escaneo en

implementaciones sin agente de Deep Security?

El almacenamiento en caché de escaneo mejora el rendimiento del

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 21/22

30/6/2020 lmsilt_ quiz.html

dispositivo virtual de seguridad profunda

en que los archivos escaneados en busca

■
de malware en una máquina virtual que
aparecen en otras máquinas virtuales
pueden no necesitar ser escaneados
nuevamente.

El almacenamiento en caché de
escaneo gestiona el uso de recursos al

■
escalonar el lanzamiento de escaneas de
malware para evitar tormentas de escaneo

El almacenamiento en caché de escaneo se usa solo en instalaciones

■
basadas en agentes y no se admite en una implementación sin agentes.

El almacenamiento en caché de
escaneo mantiene las listas de inclusiones
y exclusiones de la configuración de
escaneo de malware en la memoria para
mejorar el rendimiento.

file:///D:/Siscotec/Trend/Deep Security 12/lmsilt_ quiz.html 21/22