Practice Test #5

오답입니다. Azure Monitor action group은 metric alert, log alert, activity log alert와 같은 Azure Monitor alert의 알림 대상을 정의하는 데 사용됩니다. 이 문제는 Azure Security Center 사용자 지정 alert 알림에 관한 것이며, 이는 Security Center 자체의 policy 기반 이메일 알림 설정을 통해 구성됩니다. action group을 선택하는 것은 Azure Monitor alerting과 Defender for Cloud alert 알림 구성을 혼동한 것입니다.

오답입니다. Azure AD 또는 Azure RBAC의 Security Reader role은 alert 및 recommendation과 같은 security 관련 정보를 누가 볼 수 있는지 결정합니다. 이는 Security Center alert가 트리거될 때 누가 이메일 알림을 받는지를 제어하지 않습니다. 이메일 전달 설정은 Security Center policy 설정에서 별도로 구성됩니다.

오답입니다. alert rule을 수정하면 어떤 조건이 alert를 생성하는지와 같은 rule 정의 자체에 영향을 줍니다. 이는 Security Center alert에 대한 이메일 알림을 받을 사용자 목록을 결정하지 않습니다. 수신자 구성은 alert rule 내부에서 직접 처리되는 것이 아니라 subscription의 Security policy 알림 설정을 통해 처리됩니다.

system route는 Azure가 자동으로 제공하는 기본 route(VNet local, internet, virtual network gateway 등)입니다. 이는 기본 연결을 결정하지만 일반적으로 특정 VM을 next hop으로 하여 트래픽을 강제하도록 구성할 수 없습니다. 유효 route를 볼 수는 있지만 일반적으로 system route를 편집하여 트래픽을 VM1을 통해 유도할 수는 없습니다. 트래픽 검사 시나리오에서는 UDR를 사용하여 system route를 재정의합니다.

network security group (NSG)는 source/destination, port 및 protocol을 기준으로 인바운드/아웃바운드 트래픽을 허용하거나 거부하는 stateful packet filter입니다. NSG는 라우팅을 수행하지 않으며 트래픽이 특정 VM을 통과하도록 강제할 수 없습니다. NSG는 VM1과 subnet의 보안을 위해 중요하지만, 모든 트래픽이 VM1을 통해 라우팅되도록 보장하지는 않습니다.

contoso.com에 대한 authentication methods를 구성하는 것은 User2가 PIM을 구현할 수 있도록 하기 위한 첫 번째 단계가 아닙니다. 이것은 tenant 전체의 authentication configuration 작업이며 User2에게 PIM을 관리하는 데 필요한 permissions를 부여하지 않습니다. authentication methods가 구성되어 있더라도 적절한 admin 역할이 없으면 User2는 여전히 PIM을 구현할 수 없습니다. 따라서 이 옵션은 administrative authorization보다는 authentication readiness를 다룹니다.

contoso.com에 대한 identity secure score를 구성하는 것은 PIM 구현을 활성화하거나 승인하지 않습니다. Secure Score는 identity security posture를 측정하는 데 도움이 되는 평가 및 권장 도구이지만, permissions를 제공하거나 PIM capabilities를 활성화하지는 않습니다. User2는 여전히 PIM을 구현하는 데 필요한 administrative rights가 부족합니다. 따라서 Secure Score는 이 문제의 즉각적인 사전 요구 사항과 관련이 없습니다.

User2에 대해 multi-factor authentication를 사용하도록 설정하는 것은 security best practice이며 나중에 PIM을 통해 privileged roles를 활성화할 때 필요할 수 있습니다. 그러나 MFA만으로는 User2에게 tenant에서 PIM을 구현하거나 관리하는 데 필요한 administrative permissions를 부여하지 않습니다. 문제는 User2가 PIM을 구현할 수 있도록 하기 위해 가장 먼저 무엇을 해야 하는지를 묻고 있으며, 이를 위해서는 MFA와 같은 activation controls를 고려하기 전에 적절한 admin 역할을 할당해야 합니다. 따라서 MFA는 중요하지만 초기 사전 요구 사항은 아닙니다.

오답입니다. App Service(WebApp1)는 extension을 설치하여 Azure WAF를 활성화하는 방식을 지원하지 않습니다. Azure의 WAF는 HTTP/S request를 검사하는 reverse proxy service(Azure Front Door 또는 Application Gateway WAF)에 의해 적용됩니다. extension은 app 기능이나 agent를 추가할 수는 있지만, platform WAF request inspection 및 rule enforcement를 제공하지는 않습니다.

오답입니다. Azure Firewall은 주로 L3/L4 filtering 및 일부 application-level 제어(예: FQDN filtering)를 위한 network firewall이지만, OWASP rule, request body inspection 및 일반적인 WAF 보호를 적용하는 web application firewall은 아닙니다. 또한 web app의 HTTP 트래픽을 보호하기 위해 WAF1과 같은 WAF policy를 직접 “연결”할 수도 없습니다.

오답입니다. Azure AD PIM에서 Security administrator 역할을 활성화하면 보안 설정을 관리할 permissions를 얻을 수는 있지만, JIT가 활성화된 상태에서 RDP를 통해 연결하기 위한 필수적인 첫 번째 운영 단계는 아닙니다. 올바른 역할이 있더라도 port 3389를 일시적으로 열기 위해서는 여전히 JIT access를 요청해야 합니다. PIM은 현재 충분한 RBAC permissions가 없는 경우에만 관련이 있습니다.

오답입니다. PIM을 통해 Owner 역할을 활성화하면 광범위한 permissions를 얻을 수 있지만, RDP session을 시작하는 데 본질적으로 필요한 것은 아닙니다. JIT에서 핵심적인 차단 요소는 access를 요청할 때까지 RDP가 닫혀 있다는 점입니다. 또한 PIM 역할 활성화는 역할이 어떻게 할당되었는지에 따라 달라지며, 문제에서는 권한 상승이 필요하다고 하지 않고 단지 JIT가 활성화되었다고만 했습니다.

오답입니다. Network Watcher Agent(또는 관련 VM extensions)는 network diagnostics(예: packet capture, connection troubleshoot)에 사용되며 JIT에는 필요하지 않습니다. JIT는 control plane(NSG/Azure Firewall)의 network security rules를 통해 구현됩니다. agent를 설치해도 RDP가 열리지 않으며 JIT access workflow 요구 사항도 충족하지 않습니다.

추가 public IP address를 추가하는 것은 JIT의 전제 조건 문제를 해결하지 못합니다. JIT는 management port의 노출을 줄이기 위한 것이지, VM에 더 많은 internet-facing endpoint를 만드는 것이 아닙니다. 다른 public IP가 있더라도 Defender for Cloud는 여전히 임시 access rule을 적용하기 위해 NSG 또는 이에 상응하는 지원되는 control이 필요합니다. 이 옵션은 attack surface를 증가시키며 VM이 Unsupported로 표시되는 이유를 해결하지 못합니다.

이 시나리오에서 Basic Load Balancer를 Standard Load Balancer로 교체하는 것은 JIT를 활성화하기 위해 필요한 단계가 아닙니다. JIT의 핵심 종속성은 VM의 NIC 또는 subnet에 NSG가 존재하여 Defender for Cloud가 inbound access rule을 관리할 수 있어야 한다는 점입니다. Standard Load Balancer는 더 새로운 SKU이고 production workload에 자주 권장되지만, 문제는 JIT를 활성화하려면 무엇을 해야 하는지를 묻고 있으며, 필요한 것은 NSG 기반 enforcement 메커니즘을 제공하는 것입니다. Load Balancer만 변경한다고 해서 NSG가 없는 경우 JIT 지원이 보장되지는 않습니다.

Admin1에 Azure Active Directory Premium Plan 1을 할당하는 것은 VM이 JIT VM access에 대해 지원되는지 여부와 관련이 없습니다. JIT는 Microsoft Defender for Cloud 기능으로, 요청하는 사용자의 Azure AD P1 license가 아니라 VM networking 구성과 Defender for Cloud 기능에 따라 달라집니다. Identity license는 Conditional Access와 같은 다른 보안 기능에는 영향을 줄 수 있지만, JIT 블레이드에서 VM의 Unsupported 상태를 바꾸지는 않습니다. 따라서 이 조치로는 VM1에 대해 JIT를 활성화할 수 없습니다.

Azure Security Center(현재 Microsoft Defender for Cloud)는 security posture management, recommendations, 그리고 Defender plans의 threat protection alerts에 중점을 둡니다. security alerts를 표시할 수는 있지만, Azure Monitor 또는 Sentinel analytics rules와 같은 방식으로 Log Analytics workspace의 임의의 VM 이벤트 데이터에서 직접 custom alerts를 생성하는 범용 서비스는 아닙니다.

Azure Analysis Services는 analytics를 위한 tabular models를 구축하는 데 사용되는 BI/semantic modeling 서비스(SSAS와 유사)입니다. VM 이벤트 또는 Log Analytics workspaces에 대한 모니터링이나 alerting 기능을 제공하지 않습니다. Azure Monitor Logs에서의 security event collection 및 alert creation과는 관련이 없습니다.

Azure Advisor는 cost, reliability, security, operational excellence, performance에 대한 모범 사례 recommendations를 제공합니다. Log Analytics 이벤트 데이터를 기반으로 alerts를 생성하지는 않습니다. Advisor recommendations는 내보내거나 조치할 수 있지만, VM event logs를 위한 alerting engine은 아닙니다.