Examen de punto de control: Evaluación de alertas de seguridad

¿Qué dos tecnologías se utilizan principalmente en redes entre pares? (Elija dos opciones). Wireshark. Snort. Bitcoin. BitTorrent. Darknet.

Después de que una herramienta de monitoreo de seguridad identifica un adjunto con malware en la red, ¿qué beneficio aporta la realización de un análisis retrospectivo?. Puede determinar qué host de red resultó afectado en primer lugar. Un análisis retrospectivo puede ser de ayuda para realizar un seguimiento del comportamiento del malware a partir del punto de identificación. Puede calcular la probabilidad de un incidente en el futuro. Puede identificar cómo el malware ingresó originalmente en la red.

¿Qué método es utilizado por algunos tipos de malware para transferir archivos de hosts infectados a un host atacante?. UDP infiltration (Infiltración UDP). ICMP tunneling (Tunelización ICMP). HTTPS traffic encryption (Encriptación de tráfico HTTPS). iFrame injection (Inyección de iFrame).

¿Cuál es el propósito de Tor?. Inspeccionar el tráfico entrante y buscar si se viola una regla o si coincide con la firma de una ataque conocido. Establecer conexión segura con una red remota a través de un enlace inseguro, como una conexión a Internet. Dar ciclos de procesador a tareas informáticas distribuidas en una red P2P de intercambio de procesadores. Permitir que los usuarios naveguen por Internet de forma anónima.

¿Qué protocolo aprovechan los ciberdelincuentes para crear iFrames maliciosos?. DHCP. HTTP. DNS. ARP.

¿Qué tipo de ataque llevan a cabo los actores de amenazas contra una red para determinar qué direcciones IP, protocolos y puertos están permitidos por las ACL?. Reconocimiento. Denegación de servicio. Suplantación de identidad. ingeniería social.

¿Qué técnica utilizaría un atacante para disfrazar rastros de un ataque en curso?. Alterar la información de fecha y hora (time information) atacando la infraestructura NTP. Utilizaría SSL para encapsular malware. Crearía un iFrame invisible en una página web. Encapsularía otros protocolos dentro de DNS para evadir las medidas de seguridad.

¿Qué técnica es necesaria para garantizar una transferencia de datos privada mediante una VPN?. Virtualización. escalabilidad. encriptación. Autorización.

¿Qué tipo de datos utiliza Cisco Cognitive Intelligence para encontrar actividad maliciosa que ha eludido los controles de seguridad, o que ha ingresado a través de canales no monitoreados y que está funcionando dentro de una red empresarial?. transacción. estadística. sesión. alerta.

¿Cuál es una diferencia clave entre los datos capturados por NetFlow y los datos capturados por Wireshark?. NetFlow proporciona datos de transacciones, mientras que Wireshark proporciona datos de sesiones. Los datos de NetFlow son analizados por tcpdump mientras que los datos de Wireshark son analizados por nfdump. Los datos de NetFlow muestran contenido del flujo de red, mientras que los datos de Wireshark muestran estadísticas del flujo de red. NetFlow recopila metadatos de un flujo de red, mientras que Wireshark captura paquetes de datos completos.

Un administrador del sistema ejecuta una utilidad de análisis de archivos en una PC con Windows y observa el archivo lsass.exe en el directorio de archivos de programa. ¿Qué debe hacer el administrador?. Abra el Administrador de Tareas, haga clic con el botón derecho en el proceso lsass y elija Finalizar Tarea. Moverlo a Archivos de programa (x86) porque es una aplicación de 32 bits. Eliminar el archivo porque es probable que sea malware. Desinstalar la aplicación lsass porque es una aplicación heredada y ya no es necesaria por Windows.

Señale los dos servicios que presta la herramienta NetFlow. (Elija dos opciones). Monitoreo de redes. Factura de red basada en el uso. Análisis de registros. Monitoreo de lista de acceso. Configuración de la calidad de servicio.

¿Qué dispositivo de Cisco puede utilizarse para filtrar contenido del tráfico de red e informar y denegar el tráfico en función de la reputación del servidor web?. ASA. ESA. AVC. WSA.

¿De qué manera un dispositivo proxy web proporciona prevención de pérdida de datos (DLP) para una empresa?. Al funcionar como un firewall. Al inspeccionar el tráfico entrante en busca de ataques potenciales. Al comprobar la reputación de servidores web externos. Al analizar y registrar el tráfico saliente.

El actor de una amenaza quebrantó satisfactoriamente el firewall de la red sin ser detectado por el sistema IDS. ¿Qué condición describe la falta de alerta?. verdadero positivo. Falso positivo. Falso negativo. Negativo verdadero.

¿Cuáles son las tres funciones principales de Security Onion? (Elija tres opciones). Captura de paquete completo. Planificación de continuidad de los negocios. Contención de amenazas. Administración de dispositivos móviles. Detección de intrusiones. Análisis de alertas.

Observe la ilustración. ¿Qué campo en la ventana de evento Sguil indica la cantidad de veces que se detecta un evento para la misma dirección IP de origen y de destino?. ST. Pr. CNT. AlertID.

¿Cuáles son los dos escenarios en los que el análisis probabilístico de seguridad es el más adecuado? (Elija dos opciones). Cuando se analizan eventos con la suposición de que estos siguen pasos predefinidos. Cuando variables aleatorias crean dificultades para conocer el resultado (o las consecuencias) de cualquier evento con certeza. Cuando se analizan aplicaciones diseñadas para evitar Firewalls. Cuando cada evento es el resultado inevitable de causas anteriores. Cuando aplicaciones que cumplen los estándares de aplicación/red son analizadas.

Cuando aplicaciones que cumplen los estándares de aplicación/red son analizadas. Negativo verdadero. verdadero positivo. Falso negativo. Falso positivo.

¿Qué información está almacenada (o contenida) en la sección de opciones de una regla Snort?. Texto que describe el evento (text describing the event). Dirección de origen y destino (source and destination address). Acción que se va a realizar (action to be taken). Dirección del flujo de tráfico (direction of traffic flow).