siste honey

Pregunta de completar Un __________ es un recurso de seguridad cuyo valor reside en ser sondeado, atacado o comprometido.

Según la definición de Lance Spitzner, un honeypot es: Un sistema diseñado para bloquear ataques automáticamente. Un recurso de seguridad cuyo valor reside en ser sondeado, atacado o comprometido. Un IDS que analiza tráfico de red en tiempo real.

Un honeypot presta servicios reales a los usuarios de la organización para detectar amenazas. Verdadero. Falso.

La principal ventaja de un honeypot es que genera __________ debido a que no tiene usuarios legítimos. muchos falsos negativos. gran cantidad de tráfico legítimo. casi cero falsos positivos. múltiples errores de autenticación.

¿Cuál de las siguientes opciones representa correctamente el orden de crecimiento en complejidad de los sistemas señuelo?. Honeyfarm → Honeypot → Honeynet. Honeynet → Honeypot → Honeyfarm. Honeypot → Honeynet → Honeyfarm. Honeyfarm → Honeynet → Honeypot.

Relaciona cada concepto con su característica. Honeypot. Honeynet. Honeyfarm.

¿Cuál es la principal característica de un honeypot de alta interacción?. Simula únicamente banners de servicios. Proporciona poca información al investigador. Utiliza sistemas reales o casi reales, obteniendo mayor inteligencia. No puede ser comprometido por un atacante.

Mientras mayor sea el nivel de interacción de un honeypot, menor será el riesgo de que sea utilizado para atacar a terceros. Verdadero. Falso.

Los honeypots de __________ tienen como objetivo principal alertar tempranamente sobre ataques dentro de la red organizacional. investigación. producción. inteligencia ofensiva. respuesta automática.

¿Cuál de las siguientes afirmaciones corresponde a un honeypot de investigación?. Se ubica cerca de los activos reales para disminuir el tiempo de detección. Su objetivo principal es estudiar al atacante y capturar inteligencia. Utiliza únicamente baja interacción. Reduce el tráfico de Internet mediante filtrado.

¿Cuál de las siguientes medidas corresponde a una práctica adecuada de hardening en HFish?. Publicar el panel de administración en Internet sin restricciones. Permitir el acceso a los puertos 4433 y 4434 desde cualquier dirección IP. Restringir el acceso al panel únicamente a las direcciones IP de administración. Deshabilitar el firewall para facilitar el acceso remoto.

Relaciona cada función de una honeynet con su finalidad. Data Control. Data Capture. Data Collection.

¿Cuál de las siguientes funciones de una honeynet tiene como objetivo evitar que un atacante utilice el señuelo para comprometer otros sistemas?. Data Capture. Data Collection. Data Control. Threat Intelligence.

Data Capture consiste en registrar la actividad del atacante sin que este detecte el proceso de monitoreo. Verdadero. Falso.

La función __________ reúne en un punto central la información proveniente de varios honeypots para facilitar su análisis. Data Control. Data Collection. Data Capture. Data Recovery.

¿Qué característica distingue al Honeywall utilizado en las generaciones II y III de honeynets?. Funciona como firewall de capa 7. Posee una dirección IP pública para facilitar la administración. Actúa como puente transparente en capa 2, prácticamente invisible. Solo captura tráfico HTTP.

Las credenciales predeterminadas del panel de HFish deben mantenerse sin cambios para facilitar la administración del sistema. Verdadero. Falso.

Relaciona la herramienta con su función principal. Cowrie. Dionaea. Honeyd.

¿Cuál de las siguientes herramientas se caracteriza por agrupar numerosos honeypots utilizando Docker?. Honeyd. Cowrie. T-Pot. Canarytokens.

Los Canarytokens son sistemas completos que ejecutan un sistema operativo vulnerable para atraer atacantes. Verdadero. Falso.

Una credencial falsa de Active Directory que genera una alerta al utilizarse recibe el nombre de __________. Honeywall. Honeytoken. Honeyfarm. Honeynet.

¿Cuál de los siguientes señuelos sería el más apropiado para detectar ataques dirigidos a dispositivos industriales?. Honeypots SSH. Honeypots de IoT/ICS. Honeypots FTP. Honeypots MySQL.

¿Dónde ofrece mayor valor un honeypot para detectar movimiento lateral dentro de una organización?. En Internet. En una red pública. En la red interna. En una VPN externa.

¿Cuál es la principal ventaja de instalar un honeypot en la red interna de una organización?. Reduce el consumo de ancho de banda. Detecta ataques de denegación de servicio. Cualquier interacción suele indicar movimiento lateral o compromiso interno. Elimina la necesidad de utilizar un firewall.

En un registro de telemetría, la dirección IP de origen y el dato GeoIP permiten realizar la __________ del atacante. autenticación. atribución. encriptación. segmentación.

¿Qué información proporciona principalmente el registro de usuario y contraseña utilizados durante un ataque?. El sistema operativo del atacante. Los TTP relacionados con las credenciales utilizadas. El ancho de banda disponible. El fabricante del equipo comprometido.

Durante el despliegue de HFish con Docker, ¿cuál es la finalidad principal de montar un volumen persistente?. Incrementar la velocidad de la red. Evitar que la información recopilada se pierda al eliminar el contenedor. Reducir el consumo de memoria RAM. Mejorar la velocidad de Internet.

Relaciona cada elemento del registro con la información que aporta. GeoIP. Comandos ejecutados. Hash SHA-256.

¿Por qué los eventos generados por un honeypot son considerados de alta prioridad dentro de un SIEM?. Porque generan miles de eventos diarios. Porque casi siempre representan actividad maliciosa real. Porque sustituyen completamente al IDS. Porque bloquean automáticamente al atacante.

Los honeypots ayudan a disminuir la fatiga de alertas en un SOC al generar eventos con alta fidelidad. Verdadero. Falso.

Los eventos generados por un honeypot pueden enviarse al SIEM mediante __________, webhook o API. FTP. SMTP. Syslog. DHCP.

¿Cuál de los siguientes riesgos legales está directamente relacionado con la posibilidad de que un honeypot comprometido ataque a terceros?. Phishing. Pivoting o responsabilidad por pivote. Ingeniería social. Ransomware.

¿Qué práctica ayuda a evitar problemas relacionados con el concepto de Entrapment?. Inducir activamente al atacante a cometer un delito. Mantener un señuelo pasivo sin provocar la conducta del atacante. Publicar credenciales reales en Internet. Permitir que el atacante comprometa otros sistemas.

El principio de Entrapment recomienda que un honeypot provoque activamente al atacante para obtener más evidencia. Veradero. Falso.

¿Cuál de las siguientes medidas reduce el riesgo de que un honeypot de alta interacción sea utilizado para atacar a terceros?. Incrementar el número de servicios vulnerables. Implementar Data Control para limitar el tráfico saliente. Deshabilitar el registro de eventos. Eliminar la captura de paquetes.

La captura de tráfico realizada por un honeypot debe respetar las normas relacionadas con la __________ de los datos. disponibilidad. privacidad. redundancia. D. virtualización.

¿Cuál de los siguientes aspectos puede hacer sospechar a un atacante que está interactuando con un honeypot?. Actividad constante de usuarios reales. Banners genéricos y respuestas poco realistas. Diversidad de aplicaciones instaladas. Actualizaciones frecuentes del sistema.

Relaciona la técnica utilizada por el atacante con la medida defensiva correspondiente. Detectar banners conocidos. Detectar poca actividad de usuarios. Detectar máquinas virtuales.

¿Cuál de las siguientes acciones mejora el realismo de un honeypot y dificulta su identificación?. Utilizar siempre las configuraciones por defecto. Exponer únicamente el puerto 22. Exponer únicamente el puerto 22. Mantener el mismo banner de instalación.

Uno de los principales casos de uso de los honeypots es la detección de movimiento lateral dentro de la red corporativa. Verdadero. Falso.

Una de las principales métricas que mejora mediante el uso de honeypots es la reducción del __________. MTTR. CPU. MTTD. SLA.

Respecto a la arquitectura de HFish, seleccione todas las afirmaciones correctas: Utiliza una arquitectura Browser/Server (B/S). Está compuesta por un Management End (panel) y uno o varios Node End (nodos). El Management End administra los nodos y visualiza la información de los ataques. Los Node End construyen los servicios señuelo y reportan los ataques al panel de administración. Funciona exclusivamente mediante agentes instalados en estaciones Windows. Está diseñado únicamente para dispositivos IoT.

Los nodos de HFish se comunican con el panel de administración utilizando, por defecto, el puerto TCP __________. 22. 80. 4433. 4434.

Relaciona el componente con su función. Management End. Node End. Docker Volume.

Durante el despliegue de HFish con Docker, ¿cuáles de las siguientes acciones contribuyen a conservar la información y garantizar un funcionamiento adecuado del sistema?. Montar un volumen persistente para conservar los datos del honeypot. Utilizar network host para permitir que los servicios del honeypot sean accesibles según la configuración del laboratorio. Eliminar el contenedor después de cada reinicio para mejorar el rendimiento. Utilizar --network host para permitir que los servicios del honeypot sean accesibles según la configuración del laboratorio. Desactivar Docker una vez finalizada la instalación. Cambiar el sistema operativo de Ubuntu a Windows Server antes del despliegue.

Una empresa desea detectar movimiento lateral dentro de su red con el menor número posible de falsos positivos. ¿Cuáles de las siguientes acciones forman parte de una estrategia adecuada?. Implementar un honeypot de producción dentro de la red interna. Desactivar el registro de eventos para reducir el consumo de recursos. Publicar el panel de administración de HFish en Internet sin restricciones. Aplicar Data Control para limitar las comunicaciones salientes del honeypot y evitar que sea utilizado para atacar a terceros. Integrar los eventos del honeypot con el SIEM para generar alertas de alta prioridad. Sustituir completamente el SIEM por un honeypot.