Moduł 7

Trening egzaminacyjny SY0-701

Cel

Po tym module masz umieć nie tylko znać materiał, ale rozwiązywać pytania egzaminacyjne.

Security+ często sprawdza:

czy rozumiesz scenariusz
czy odróżniasz odpowiedź poprawną od najlepszej
czy umiesz dobrać kontrolę do ryzyka
czy znasz kolejność działań
czy nie mylisz podobnych pojęć
czy potrafisz działać praktycznie w zadaniu symulacyjnym.

CompTIA opisuje performance-based questions jako zadania sprawdzające rozwiązywanie problemów w realistycznych ustawieniach; mogą mieć formę symulacji środowiska lub narzędzia, np. firewall, diagram sieci, terminal albo system operacyjny. CompTIA podaje też, że Security+ należy do certyfikacji z PBQ typu simulation.

1. Jak czytać pytania scenariuszowe

Problem

Wiele osób zna definicje, ale traci punkty, bo odpowiada zbyt szybko. Security+ często daje kilka odpowiedzi, które są częściowo prawdziwe. Trzeba wybrać najlepszą odpowiedź dla danego scenariusza.

Mechanizm

Czytaj pytanie w tej kolejności:

Najpierw ostatnie zdanie pytania
Zobacz, o co naprawdę pytają: „best next step”, „most likely attack”, „best mitigation”, „first action”, „primary purpose”.
Potem scenariusz
Szukaj faktów: kto, co, gdzie, kiedy, jaki objaw, jaki zasób, jakie ograniczenie.
Zidentyfikuj domenę
Czy to jest pytanie o atak, architekturę, operacje, IAM, ryzyko, compliance?
Usuń odpowiedzi absurdalne
Często 1–2 opcje odpadają od razu.
Porównaj odpowiedzi technicznie poprawne
Wybierz tę, która najlepiej pasuje do problemu i kolejności działań.
Przykład

Scenariusz

EDR wykrył podejrzany proces na laptopie, który komunikuje się z domeną command and control. Co powinien zrobić analityk jako pierwsze?

Możliwe odpowiedzi:

A. Wykonać lessons learned.
B. Izolować hosta.
C. Zaktualizować politykę bezpieczeństwa.
D. Przeprowadzić roczny audyt.

Najlepsza odpowiedź: B. Izolować hosta.

Dlaczego:

To aktywny incydent. Najpierw trzeba ograniczyć skutki, czyli wykonać containment. Lessons learned jest później. Audyt i polityka mogą być ważne, ale nie są pierwszym działaniem.

2. Najczęstsze pułapki egzaminacyjne

Pułapka	Jak jej unikać
Mylenie first i best	„First” dotyczy kolejności, „best” najlepszego dopasowania.
Wybieranie najdroższej technologii	Egzamin pyta o dopasowanie, nie o najbardziej zaawansowane narzędzie.
Mylenie detekcji z prewencją	SIEM wykrywa, MFA zapobiega przejęciu konta po wycieku hasła.
Mylenie remediation z mitigation	Remediation usuwa problem, mitigation zmniejsza ryzyko.
Mylenie RTO z RPO	RTO = czas powrotu, RPO = ilość utraconych danych mierzona czasem.
Mylenie SAML z OAuth	SAML często federacyjne SSO, OAuth delegowana autoryzacja.
Uznawanie alertu za incydent	Alert wymaga triage i kontekstu.
Pomijanie procesu	Change management, risk acceptance i chain of custody są często lepszą odpowiedzią niż narzędzie.

3. Strategia PBQ

Problem

PBQ stresują, bo wyglądają inaczej niż zwykłe pytania. Mogą wymagać dopasowania elementów, ustawienia reguł, przeanalizowania diagramu lub wykonania logicznej konfiguracji.

Zasada działania

W PBQ nie próbuj „klikać wszystkiego”. Traktuj zadanie jak scenariusz operacyjny.

Kolejność:

Przeczytaj cel.
Zidentyfikuj zasób i problem.
Wypisz ograniczenia.
Ustal, czy chodzi o sieć, IAM, logi, architekturę, ryzyko czy incident response.
Wykonaj minimalną poprawną konfigurację.
Sprawdź, czy nie dodałeś zbyt szerokiego dostępu.
Zostaw sobie czas na powrót, jeśli platforma egzaminacyjna na to pozwala.

CompTIA wskazuje, że w przypadku symulacyjnych PBQ można je pominąć i wrócić później, natomiast przy wirtualnych PBQ nie zawsze jest to możliwe; CompTIA podaje też, że punktowanie może uwzględniać różne możliwe podejścia i częściowe punkty.

4. Trening PBQ — zadania tekstowe

To są autorskie zadania treningowe, nie pytania z realnego egzaminu.

PBQ 1: Reguły firewalla dla aplikacji webowej

Scenariusz

Firma ma aplikację webową:

użytkownicy z Internetu mają mieć dostęp do aplikacji po HTTPS
serwer aplikacji ma komunikować się z bazą danych
użytkownicy z Internetu nie mogą łączyć się bezpośrednio z bazą danych
administratorzy mają zarządzać serwerami tylko przez jump server
logi mają trafiać do SIEM.
Zadanie

Dopasuj ruch:

Źródło	Cel	Ruch	Decyzja
Internet	WAF / aplikacja webowa	HTTPS 443	?
Internet	Baza danych	DB port	?
Serwer aplikacji	Baza danych	DB port	?
Administrator	Serwer produkcyjny	SSH/RDP bezpośrednio	?
Administrator	Jump server	SSH/RDP/VPN	?
Serwery	SIEM	Log forwarding	?

Odpowiedź

Źródło	Cel	Ruch	Decyzja
Internet	WAF / aplikacja webowa	HTTPS 443	Allow
Internet	Baza danych	DB port	Deny
Serwer aplikacji	Baza danych	DB port	Allow
Administrator	Serwer produkcyjny	SSH/RDP bezpośrednio	Deny
Administrator	Jump server	SSH/RDP/VPN	Allow, najlepiej z MFA
Serwery	SIEM	Log forwarding	Allow

Najważniejsza logika:

Nie otwierasz bazy danych do Internetu. Administrację centralizujesz przez jump server. Logi muszą płynąć do SIEM.

PBQ 2: Incident response — ransomware

Scenariusz

EDR wykrywa masową zmianę plików na laptopie użytkownika. Udział sieciowy zawiera pliki z nowymi rozszerzeniami. Laptop komunikuje się z nieznaną domeną.

Zadanie

Ułóż działania w odpowiedniej kolejności:

A. Lessons learned
B. Izolacja hosta
C. Recovery z backupu
D. Analiza zakresu infekcji
E. Usunięcie malware i zamknięcie wektora wejścia
F. Detection przez EDR i zgłoszenie użytkownika

Odpowiedź

F. Detection przez EDR i zgłoszenie użytkownika

D. Analiza zakresu infekcji

B. Izolacja hosta

E. Usunięcie malware i zamknięcie wektora wejścia

C. Recovery z backupu

A. Lessons learned

Uwaga egzaminacyjna:

W wielu scenariuszach containment, czyli izolacja, będzie bardzo wczesnym działaniem. Analiza i containment często zachodzą blisko siebie. Jeśli pytanie pyta o first action to stop spread, wybieraj izolację.

PBQ 3: Dobór źródeł danych

Scenariusz

Analityk bada możliwy wyciek danych. Konto użytkownika pobrało dużą liczbę rekordów z aplikacji, a potem wysłało plik na zewnętrzny adres e-mail.

Zadanie

Dopasuj pytanie do najlepszego źródła danych.

Pytanie	Najlepsze źródło
Czy użytkownik wykonał eksport z aplikacji?	?
Czy wiadomość opuściła organizację?	?
Czy plik zawierał dane wrażliwe?	?
Czy konto logowało się nietypowo?	?
Czy endpoint tworzył podejrzane archiwum?	?

Odpowiedź

Pytanie	Najlepsze źródło
Czy użytkownik wykonał eksport z aplikacji?	Application logs
Czy wiadomość opuściła organizację?	Email gateway logs
Czy plik zawierał dane wrażliwe?	DLP logs
Czy konto logowało się nietypowo?	IAM / authentication logs
Czy endpoint tworzył podejrzane archiwum?	EDR / endpoint logs

Najważniejsza logika:

Nie każde dochodzenie zaczyna się od packet capture. Źródło danych dobierasz do pytania.

5. Test końcowy — 30 pytań

Pytanie 1

Która kontrola najlepiej zapewnia non-repudiation?

A. Data masking

B. Digital signature

C. Backup

D. DNS filtering

Poprawna odpowiedź: B

Wyjaśnienie:

Podpis cyfrowy pomaga potwierdzić autora i integralność, wspierając niezaprzeczalność.

Pytanie 2

Użytkownik zalogował się poprawnie, ale nie ma dostępu do raportu. Co należy sprawdzić?

A. Authentication

B. Authorization

C. DNS poisoning

D. RPO

Poprawna odpowiedź: B

Wyjaśnienie:

Logowanie potwierdza tożsamość. Dostęp do raportu zależy od autoryzacji.

Pytanie 3

Wiele kont ma po jednej nieudanej próbie logowania z tym samym hasłem. Co to najprawdopodobniej jest?

A. Brute force

B. Password spraying

C. XSS

D. Tailgating

Poprawna odpowiedź: B

Wyjaśnienie:

Password spraying rozkłada próby na wiele kont.

Pytanie 4

Firma chce chronić aplikację webową przed SQL injection i XSS. Co najlepiej pasuje?

A. WAF

B. UPS

C. Cold site

D. Password vault

Poprawna odpowiedź: A

Wyjaśnienie:

Web Application Firewall chroni aplikacje webowe przed typowymi atakami aplikacyjnymi. Nie zastępuje poprawy kodu, ale jest właściwą kontrolą architektoniczną.

Pytanie 5

RTO oznacza:

A. Maksymalną akceptowalną utratę danych
B. Maksymalny akceptowalny czas niedostępności
C. Identyfikator podatności
D. Listę unieważnionych certyfikatów

Poprawna odpowiedź: B

Pytanie 6

RPO oznacza:

A. Ile danych można maksymalnie utracić, mierzone czasem
B. Jak szybko naprawić system
C. Jaki jest wynik CVSS
D. Jak często wykonywać audyt fizyczny

Poprawna odpowiedź: A

Pytanie 7

CVE służy do:

A. Identyfikacji znanej podatności
B. Punktowej oceny ciężkości podatności
C. Federacyjnego SSO
D. Szyfrowania danych

Poprawna odpowiedź: A

Pytanie 8

CVSS służy do:

A. Punktowej oceny ciężkości podatności
B. Tworzenia kopii zapasowej
C. Tokenizacji danych
D. Analizy łańcucha dostaw

Poprawna odpowiedź: A

Pytanie 9

Alert SIEM o impossible travel powinien najpierw prowadzić do:

A. Natychmiastowego usunięcia konta
B. Triage i sprawdzenia kontekstu
C. Wyłączenia wszystkich logów
D. Usunięcia SIEM

Poprawna odpowiedź: B

Pytanie 10

Który etap incident response ogranicza skutki incydentu?

A. Recovery

B. Containment

C. Lessons learned

D. Preparation

Poprawna odpowiedź: B

Pytanie 11

Który etap usuwa przyczynę incydentu?

A. Eradication

B. Detection

C. Preparation

D. Reporting

Poprawna odpowiedź: A

Pytanie 12

Który mechanizm jest najlepszy do wykrywania nieautoryzowanej zmiany pliku konfiguracyjnego?

A. FIM

B. RPO

C. SLA

D. Steganography

Poprawna odpowiedź: A

Pytanie 13

Który dokument określa poziom usługi dostawcy?

A. SLA

B. NDA

C. RPO

D. CVE

Poprawna odpowiedź: A

Pytanie 14

Który dokument chroni poufność informacji?

A. NDA

B. MOU

C. MTBF

D. SPF

Poprawna odpowiedź: A

Pytanie 15

Firma chce mieć prawo audytować dostawcę. Co powinna dodać do umowy?

A. Right-to-audit clause

B. Data masking

C. Packet capture

D. Fail-open

Poprawna odpowiedź: A

Pytanie 16

Który model kontroli dostępu opiera się na rolach?

A. RBAC

B. DAC

C. MAC

D. CSRF

Poprawna odpowiedź: A

Pytanie 17

Który model dostępu wykorzystuje atrybuty, np. lokalizację, urządzenie i poziom ryzyka?

A. ABAC

B. DAC

C. Hashing

D. DLP

Poprawna odpowiedź: A

Pytanie 18

Dwa hasła użyte przy logowaniu to:

A. MFA
B. Nadal jeden typ czynnika
C. Biometria
D. Federation

Poprawna odpowiedź: B

Wyjaśnienie:

Dwa hasła to nadal „something you know”.

Pytanie 19

Aplikacja chce uzyskać ograniczony dostęp do zasobu użytkownika bez poznawania jego hasła. Co najlepiej pasuje?

A. OAuth

B. SLE

C. ARP poisoning

D. Cold site

Poprawna odpowiedź: A

Pytanie 20

Federacyjne SSO często wykorzystuje:

A. SAML
B. RPO
C. DDoS
D. NAT jako mechanizm tożsamości

Poprawna odpowiedź: A

Pytanie 21

Które działanie najlepiej ogranicza skutki kompromitacji jednego segmentu sieci?

A. Segmentacja

B. Zmiana nazwy hosta

C. Wyłączenie logów

D. Zwiększenie liczby administratorów

Poprawna odpowiedź: A

Pytanie 22

Które rozwiązanie najlepiej pasuje do centralnego punktu administracji serwerami?

A. Jump server

B. Publiczny udział plików

C. Guest Wi-Fi

D. Data subject

Poprawna odpowiedź: A

Pytanie 23

Które źródło najlepiej pokaże, czy użytkownik wykonał eksport danych z aplikacji?

A. Application logs

B. UPS logs

C. Kamera parkingowa

D. CRL

Poprawna odpowiedź: A

Pytanie 24

Które źródło najlepiej pokaże podejrzany proces na laptopie?

A. EDR logs

B. SLA

C. Risk appetite

D. MOU

Poprawna odpowiedź: A

Pytanie 25

SLE = 40 000 zł, ARO = 2. ALE wynosi:

A. 20 000 zł
B. 40 002 zł
C. 80 000 zł
D. 2 000 zł

Poprawna odpowiedź: C

Pytanie 26

Firma kupuje ubezpieczenie cyber. Jaka to strategia ryzyka?

A. Transfer

B. Avoid

C. Eradication

D. Deprovisioning

Poprawna odpowiedź: A

Pytanie 27

Firma rezygnuje z projektu, bo ryzyko jest zbyt wysokie. Jaka to strategia?

A. Avoid

B. Accept

C. Transfer

D. Hashing

Poprawna odpowiedź: A

Pytanie 28

Który dokument jest instrukcją krok po kroku?

A. Procedure

B. Policy

C. Guideline

D. CVSS

Poprawna odpowiedź: A

Pytanie 29

Który element jest wysokopoziomową zasadą organizacyjną?

A. Policy

B. Packet capture

C. NetFlow

D. OAuth token

Poprawna odpowiedź: A

Pytanie 30

Najlepszy opis Zero Trust to:

A. Pełne zaufanie do użytkowników w sieci firmowej
B. Brak domyślnego zaufania i ciągła weryfikacja dostępu
C. Wyłącznie zakup jednego produktu bezpieczeństwa
D. Wyłączenie wszystkich połączeń zdalnych

Poprawna odpowiedź: B

6. Analiza wyników testu

Po rozwiązaniu testu nie licz tylko punktów. Przypisz błędy do domen:

Typ błędu	Domena
CIA, AAA, Zero Trust, kryptografia	1.0 General Security Concepts
Ataki, podatności, malware, mitygacje	2.0 Threats, Vulnerabilities, and Mitigations
Segmentacja, WAF, cloud, RTO/RPO techniczne	3.0 Security Architecture
IAM, hardening, SIEM, EDR, incident response	4.0 Security Operations
Ryzyko, governance, audyt, third-party, awareness	5.0 Security Program Management and Oversight

Progi interpretacji

Wynik	Interpretacja
27–30/30	Bardzo dobrze, przejdź do pytań mieszanych i PBQ.
23–26/30	Dobrze, popraw konkretne słabe domeny.
18–22/30	Wróć do modułów z największą liczbą błędów.
Poniżej 18/30	Potrzebna powtórka fundamentów i ponowne testy modułowe.

7. Plan powtórek końcowych

Etap 1: Powtórka pojęć mylonych

Powtórz szczególnie:

Para pojęć	Co zapamiętać
Authentication vs Authorization	Kim jesteś vs co możesz zrobić.
Encryption vs Hashing	Odwracalne z kluczem vs jednokierunkowy skrót.
SAML vs OAuth	Federacyjne SSO vs delegowana autoryzacja.
CVE vs CVSS	Identyfikator vs punktacja.
RTO vs RPO	Czas powrotu vs utrata danych.
IDS vs IPS	Wykrywa vs może blokować.
SIEM vs EDR	Korelacja wielu źródeł vs endpoint.
Containment vs Eradication	Ograniczenie skutków vs usunięcie przyczyny.
Policy vs Procedure	Zasada vs kroki.
SLA vs NDA	Poziom usługi vs poufność.

Etap 2: Powtórka według wag domen

Najwięcej czasu poświęć domenom o największej wadze:

Security Operations — 28%
Threats, Vulnerabilities, and Mitigations — 22%
Security Program Management and Oversight — 20%
Security Architecture — 18%
General Security Concepts — 12%

Ten rozkład wynika z oficjalnego podziału domen SY0-701.

Etap 3: Trening scenariuszy

Dla każdego pytania zapisuj:

jaka jest domena
jaki jest problem
jaka odpowiedź jest najlepsza
dlaczego pozostałe odpowiedzi są gorsze
z czym łatwo to pomylić.
Etap 4: Trening czasu

Egzamin trwa 90 minut i ma maksymalnie 90 pytań, więc średnio masz około minuty na pytanie, ale PBQ mogą zająć więcej czasu.

Strategia:

najpierw rozwiązuj pytania, które rozumiesz
nie blokuj się zbyt długo na jednym pytaniu
zaznacz pytania do powrotu
w PBQ najpierw ustal cel, potem konfiguruj
zostaw czas na przegląd.

8. Fiszki końcowe

Przód fiszki	Tył fiszki
Największa domena SY0-701?	Security Operations — 28%.
RTO?	Jak szybko system musi wrócić.
RPO?	Ile danych można maksymalnie utracić.
CVE?	Identyfikator podatności.
CVSS?	Punktacja ciężkości podatności.
SIEM?	Centralizacja i korelacja logów.
EDR?	Detekcja i reakcja na endpointach.
DLP?	Ochrona przed wypływem danych.
FIM?	Monitorowanie zmian plików.
NAC?	Kontrola dostępu urządzeń do sieci.
RBAC?	Dostęp na podstawie roli.
ABAC?	Dostęp na podstawie atrybutów i kontekstu.
SAML?	Często federacyjne SSO.
OAuth?	Delegowana autoryzacja.
PAM?	Zarządzanie dostępem uprzywilejowanym.
MFA?	Minimum dwa różne typy czynników.
WAF?	Ochrona aplikacji webowych.
IDS?	Wykrywa i alarmuje.
IPS?	Może blokować ruch.
Containment?	Ograniczenie skutków incydentu.
Eradication?	Usunięcie przyczyny.
Recovery?	Przywrócenie działania.
Lessons learned?	Poprawa po incydencie.
SLA?	Poziom usługi.
NDA?	Poufność informacji.
ALE?	SLE × ARO.
Policy?	Wysokopoziomowa zasada.
Procedure?	Instrukcja krok po kroku.

9. Końcowa checklista gotowości

Przed podejściem do egzaminu powinieneś umieć:

Rozwiązywać pytania scenariuszowe bez zgadywania po słowach kluczowych.
Odróżniać odpowiedź poprawną od najlepszej.
Wyjaśnić wszystkie domeny SY0-701.
Rozwiązać pytania z CIA, AAA, Zero Trust i kryptografii.
Rozpoznać ataki, malware i mitygacje.
Zaprojektować prostą segmentację.
Dobrać WAF, IDS, IPS, SIEM, EDR, DLP, NAC i FIM.
Opisać vulnerability management.
Odróżnić CVE, CVSS, remediation, mitigation i exception.
Odróżnić SSO, federation, SAML i OAuth.
Opisać incident response we właściwej kolejności.
Dobrać źródła danych do dochodzenia.
Wyjaśnić chain of custody i legal hold.
Obliczyć ALE.
Odróżnić RTO od RPO.
Odróżnić SLA, NDA, MOU i right-to-audit.
Odróżnić policy, standard, procedure i guideline.
Wskazać strategię ryzyka: accept, avoid, transfer, mitigate.

10. Kontrola końcowa całego kursu

Pokrycie domen

Domena	Moduły kursu	Status
1.0 General Security Concepts	Moduł 1	Pokryte
2.0 Threats, Vulnerabilities, and Mitigations	Moduł 2	Pokryte
3.0 Security Architecture	Moduł 3	Pokryte
4.0 Security Operations	Moduły 4 i 5	Pokryte
5.0 Security Program Management and Oversight	Moduł 6	Pokryte
PBQ i strategia egzaminacyjna	Moduł 7	Pokryte

Największe ryzyka przed egzaminem

Ryzyko	Jak je zmniejszyć
Mylenie podobnych pojęć	Powtórz tabelę par mylonych.
Zbyt wolne rozwiązywanie pytań	Ćwicz testy czasowe.
Słabe PBQ	Ćwicz diagramy, dopasowania i kolejność działań.
Brak analizy błędów	Każdy błąd przypisz do domeny.
Pomijanie governance	Powtórz Moduł 6, bo ta domena ma 20%.
Za słabe Security Operations	Powtórz Moduły 4 i 5, bo razem pokrywają największą domenę.

11. Rekomendowane powtórki

Powtórka 7-dniowa

Dzień	Zakres
1	Moduł 1: kontrole, CIA, AAA, Zero Trust, kryptografia
2	Moduł 2: ataki, podatności, malware, mitygacje
3	Moduł 3: architektura, segmentacja, dane, HA/DR
4	Moduł 4: hardening, asset management, vulnerability management, IAM
5	Moduł 5: SIEM, EDR, DLP, incident response, forensics
6	Moduł 6: governance, risk, third-party, compliance, awareness
7	Moduł 7: test mieszany, PBQ, analiza błędów

Powtórka 3-dniowa

Dzień	Zakres
1	Domeny 1–2
2	Domeny 3–4
3	Domena 5 + PBQ + test mieszany

Ostatni dzień przed egzaminem

Nie ucz się nowych dużych tematów. Zrób:

fiszki z pojęć mylonych
20–30 pytań mieszanych
2–3 zadania PBQ tekstowe
krótką powtórkę RTO/RPO, CVE/CVSS, SAML/OAuth, SIEM/EDR, policy/procedure.
Kontrola kompletności modułu 7

Zakres pokryty:

strategia rozwiązywania pytań
pułapki egzaminacyjne
PBQ
test końcowy
analiza wyników
fiszki końcowe
checklista gotowości
kontrola końcowa kursu
plan powtórek.