Punto de Control M26-M28

El actor de una amenaza quebrantó satisfactoriamente el firewall de la red sin ser detectado por el sistema IDS. ¿Qué condición describe la falta de alerta?. Falso negativo. Falso positivo. Negativo verdadero. Positivo verdadero.

¿Cuál clasificación indica que una alerta es verificada como un incidente de seguridad real?. Positivo verdadero. Falso positivo. Negativo verdadero. Falso negativo.

Después de que una herramienta de monitoreo de seguridad identifica un adjunto con malware en la red, ¿qué beneficio aporta la realización de un análisis retrospectivo?. Un análisis retrospectivo puede ser de ayuda para realizar un seguimiento del comportamiento del malware a partir del punto de identificación. Puede identificar cómo el malware ingresó originalmente en la red. Puede determinar qué host de red resultó afectado en primer lugar. Puede calcular la probabilidad de un incidente en el futuro.

¿Qué indica un ID de firma de Snort inferior a 3464?. El SID fue creado por Sourcefire y distribuido de conformidad con un acuerdo de licencia GPL. El SID fue creado por la comunidad de Snort y se mantiene en las reglas de la comunidad. El SID fue creado por los miembros de Emerging Threats. Se trata de una firma personalizada desarrollada por la organización para abordar las reglas observadas localmente.

Haga coincidir el origen de la regla Snort (Snort rule source) con su respectiva descripción. GPL. ET. VRT.

Un administrador de red está intentando descargar un archivo válido de un servidor interno. Sin embargo, el proceso activa una alerta en una herramienta NMS. ¿Qué condición describe correctamente la alerta?. Falso positivo. Positivo verdadero. Negativo verdadero. Falso negativo.

¿En qué se basan generalmente los registros de eventos de seguridad cuando se obtienen del firewall tradicional?. Tupla de 5 elementos. Firmas. Filtrado estático. Análisis de la aplicación.

¿A qué miembro del personal de un SOC se le asigna la tarea de verificar si una alerta activada por un software de monitoreo representa un incidente de seguridad real?. Personal, nivel 1. Personal, nivel 3. Gerente de SOC. Personal, nivel 2.

¿Cuál es el propósito de la reducción de datos en relación con NSM?. Disminuir la cantidad de datos de NSM a ser manejados. Mejorar la transmisión segura de datos de alerta. Eliminar flujos de datos recurrentes. Acelerar la transmisión de datos de alerta.

¿Qué uso se le da al valor de hash de archivos en las investigaciones de seguridad de la red?. Ayuda a identificar las firmas de malware. Se utiliza como una clave para el cifrado. Se usa para decodificar archivos. Comprueba la confidencialidad de los archivos.

¿Qué término se utiliza para describir el proceso de conversión de entradas de registros en un formato común?. Normalización. Clasificación. Estandarización. Sistematización.

¿Cuál de las siguientes herramientas es un sistema de detección de intrusiones basado en host integrado en Security Onion?. OSSEC. Snort. ELK. Sguil.

¿Cuál es el objetivo de la normalización de los datos?. Simplificar la búsqueda de eventos correlacionados. Acelerar la transmisión de datos de alerta. Reducir la cantidad de datos de alerta. Mejorar la transmisión segura de datos de alerta.

¿Cómo interactúa un programa de aplicación con el sistema operativo?. Haciendo llamadas a la API. Usando procesos. Enviando archivos. Accediendo a BIOS o UEFI.

¿Cuál tecnología es un estándar principal que consiste en un patrón de símbolos que describen los datos que deben coincidir en una consulta?. POSIX. Squert. OSSEC. Sguil.

¿Qué tipo de evento debe asignarse a categorías en Sguil?. Positivo verdadero. Falso positivo. Falso negativo. Negativo verdadero.

Cuando se ocupa de amenazas de seguridad y utiliza el modelo de cadena de eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para bloquear la posible creación de una puerta trasera? (Elija dos opciones.). Auditar terminales para detectar archivos creados de manera anómala. Usar HIPS para alertar sobre rutas de instalación comunes o bloquearlas. Consolidar la cantidad de puntos de presencia en Internet. Establecer una cuaderno de estrategias para la respuesta ante los incidentes. Evaluar daños.

El actor de una amenaza recopila información de los servidores web de una organización y busca información de contacto de los empleados. La información recopilada se utiliza para buscar información personal en Internet. ¿A qué fase de ataque pertenecen estas actividades según el modelo de cadena de eliminación cibernética?. Reconocimiento. Armamentización. Aprovechamiento. Acción en objetivos.

¿Qué dos fuentes compartidas de información se incluyen en el marco MITRE ATT&CK? (Escoja dos opciones.). Mapear los pasos de un ataque a una matriz de tácticas generalizadas. Tácticas, técnicas, y procedimientos de atacante. Recopilación de evidencias de la más volátil a la menos volátil. Detalles sobre el manejo de la evidencia, incluidos momentos, lugares y personal involucrado. Evidencia de testigos oculares de alguien que observó directamente un comportamiento delictivo.

Según el NIST, ¿qué paso en el proceso de análisis forense digital consiste en llegar a conclusiones a partir de los datos?. Análisis. Recopilación. Elaboración de informes. Examen.

¿En qué paso del proceso de respuesta ante los incidentes de NIST el CSIRT realiza un análisis para determinar qué redes, sistemas o aplicaciones se ven afectados, quién o qué originó el incidente, y cómo ocurre el incidente?. Alcance. Identificación del atacante. Notificación de incidentes. Detección.

¿Qué se define en el SOP de una funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?. Los procedimientos que se llevan a cabo durante una respuesta ante los incidentes. Las métricas para medir las funcionalidades de respuesta ante los incidentes. Los detalles sobre cómo manejar un incidente. La guía para aumentar las funcionalidades de respuesta ante los incidentes.

Una el evento de intrusión definido en el modelo de diamante de la intrusión con la descripción correspondiente. víctima. funcionalidad. infraestructura. adversario.

¿Qué información recopila el CSIRT al determinar el alcance de un incidente de seguridad?. Las redes, los sistemas y las aplicaciones afectadas por un incidente. Los procesos utilizados para proteger las pruebas. La cantidad de tiempo y los recursos necesarios para manejar un incidente. Las estrategias y los procedimientos utilizados para la contención del incidente.

¿Cuál es el objetivo del actor de una amenaza al establecer un canal de comunicación bidireccional entre el sistema objetivo y una infraestructura de CnC?. Permitir que al actor de la amenaza emita comandos al software que se instala en el objetivo. Enviar datos del usuario almacenados en el objetivo del actor de la amenaza. Lanzar un ataque de desbordamiento del búfer. Robar ancho de banda de la red donde se encuentra el objetivo.