Cuestionario del módulo 2 – Cuestionario combatientes en la guerra contra el cibercrimen Respuestas

12/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 1, 2022

1. ¿A qué miembro del personal de un SOC se le asigna la tarea de verificar si una alerta activada por un software de monitoreo representa un incidente de seguridad real?

  • Gerente de SOC
  • Personal, nivel 2
  • Personal, nivel 3
  • Personal, nivel 1
Explique: En un SOC, el trabajo de un analista de alertas de nivel 1 incluye monitorear las alertas entrantes y verificar que haya ocurrido un verdadero incidente de seguridad.

2. Después de que un incidente de seguridad se verifica en un SOC, un encargado de la respuesta ante los incidentes revisa el incidente, pero no puede identificar el origen ni desarrollar un procedimiento de mitigación eficaz. ¿A quién se debe derivar el ticket del incidente?

  • El gerente del SOC para que asigne a otros miembros del personal
  • Un analista especializado en alertas para que profundice el análisis
  • Un analista especializado en ciberoperaciones para que brinde ayuda
  • Un experto en la materia para que profundice la investigación
Explique: Un encargado de respuesta es un profesional de seguridad de nivel 2 en un SOC. Si el encargado de la respuesta ante los incidentes no puede resolver el ticket de incidente, este debe remitirse a un profesional del siguiente nivel (nivel 3). Un SME de nivel 3 investigaría más el incidente.

3. Señale los dos servicios que prestan los centros de operaciones de seguridad. (Elija dos opciones).

  • Administrar soluciones completas de amenazas
  • Proporcionar conexiones seguras a Internet
  • responder a los robos físicos del centro de datos
  • Monitorear las amenazas de seguridad de l red
  • Garantizar el intercambio seguro de routing de paquetes
Explique: Los centros de operaciones de seguridad (SOC) pueden proporcionar una amplia gama de servicios para defenderse de las amenazas a los sistemas de información de una organización. Estos servicios incluyen el monitoreo de las amenazas a la seguridad de la red y la administración de soluciones integrales para luchar contra las amenazas. Garantizar el intercambio seguro de routing y proporcionar conexiones seguras a Internet son tareas que normalmente realiza un centro de operaciones de red (NOC). Responder a robos de instalaciones suele ser la función y la responsabilidad del Departamento de Policía local.

4. ¿Qué métrica se utiliza en los SOC para evaluar el tiempo medio que se tarda en identificar que se han producido incidentes de seguridad válidos en la red?

  • Tiempo de permanencia
  • MTTR
  • MTTD
  • MTTC
Explique: Los SOC utilizan muchas métricas como indicadores de rendimiento de cuánto tiempo tarda el personal en localizar, detener y corregir incidentes de seguridad.
  • TIempo de permanencia
  • Tiempo medio de detección (MTTD)
  • Tiempo medio para responder (MTTR)
  • Tiempo medio para contener (MTTC)
  • Tiempo de control

5. ¿Qué métrica de KPI utiliza SOAR para medir el tiempo que los agentes de amenazas tienen acceso a una red antes de ser detectados y se detiene el acceso de los agentes amenazadores?

  • MTTC
  • Tiempo de permanencia
  • MTTD
  • MTTR
Explique: Las métricas del indicador de rendimiento clave común (KPI) compiladas por los administradores de SOC son las siguientes:
  • Tiempo de permanencia: el tiempo que los agentes amenazadores tienen acceso a una red antes de ser detectados y el acceso de los agentes amenazadores se detiene
  • Tiempo medio de detección (MTTD): el tiempo medio que tarda el personal del SOC en identificar incidentes de seguridad válidos se han producido en la red
  • Tiempo medio de respuesta (MTTR): el tiempo medio que tarda en detenerse y remediar un incidente de seguridad
  • Tiempo medio para contener (MTTC): el tiempo necesario para evitar que el incidente cause más daños a los sistemas o datos

6. ¿Cuál es el papel del SIEM?

  • para analizar las vulnerabilidades del sistema operativo y aplicar parches de seguridad para proteger los sistemas operativos
  • para analizar todos los paquetes de red en busca de firmas de malware y actualizar la base de datos de vulnerabilidades
  • para analizar todos los datos que generan los firewalls, los dispositivos de red, los sistemas de detección de intrusiones y otros dispositivos e instituir medidas preventivas
  • para analizar todos los paquetes de red en busca de firmas de malware y sincronizar las firmas con las bases de datos del Gobierno Federal
Explique: Un sistema de gestión de eventos e información de seguridad (SIEM) tiene sentido para todos los datos que generan firewalls, dispositivos de red, sistemas de detección de intrusiones y otros dispositivos. Los sistemas SEIM se utilizan para recopilar y filtrar datos, detectar y clasificar amenazas y analizar e investigar amenazas. Los sistemas SIEM también pueden gestionar recursos para implementar medidas preventivas y hacer frente a futuras amenazas.

7. ¿Cuál es una característica de la plataforma de seguridad SOAR?

  • para proporcionar una interfaz fácil de usar que utiliza el lenguaje de programación Python para administrar las amenazas de seguridad
  • para incluir libros de juego predefinidos que permitan la respuesta automática a amenazas específicas
  • para proporcionar un medio para sincronizar la base de datos de vulnerabilidades
  • para interactuar con los sitios de seguridad del Gobierno Federal y actualizar todas las plataformas de vulnerabilidad
Explique: Las plataformas de seguridad SOAR ofrecen las siguientes características:
  • Recopilar datos de alarma de cada componente del sistema
  • Proporcionar herramientas que permitan investigar, evaluar e investigar casos
  • Destacar la integración como medio de automatizar flujos de trabajo de respuesta a incidentes complejos que permiten una respuesta más rápida y estrategias de defensa adaptativa
  • Incluir playbooks predefinidos que permiten la respuesta automática a amenazas específicas

8. Un profesional de seguridad de la red presentó una solicitud para un puesto de nivel 2 en un SOC. ¿Qué función laboral habitual se le asignaría a un nuevo empleado?

  • Profundizar la investigación de incidentes de seguridad
  • Monitorear las alertas entrantes y verificar que se haya producido un incidente real
  • Buscar amenazas de seguridad potenciales e implementar herramientas de detección de amenazas
  • Desempeñarse como el punto de contacto de un cliente
Explique: en un SOC típico, el trabajo de un encargado de respuesta de incidentes de Nivel 2 implica una investigación profunda de los incidentes de seguridad.

9. Si un SOC tiene un objetivo de tiempo de actividad del 99.99%, ¿cuántos minutos de tiempo de inactividad al año se considerarían dentro de su objetivo?

  • 60.56
  • 52.56
  • 48.25
  • 50.38
Explique: Dentro de un año, hay 365 días x 24 horas al día x 60 minutos por hora = 525,600 minutos. Con el objetivo de un tiempo de actividad del 99,99% del tiempo, el tiempo de inactividad debe controlarse por debajo de 525,600 x (1-0,9999) = 52,56 minutos al año.

10. ¿Qué organización ofrece la certificación CySA+ independiente?

  • GIAC
  • IEEE
  • (ISC)²
  • CompTIA
Explique: la certificación CompTIA Cybersecurity Analyst (CySA +) es una certificación profesional de seguridad independiente del proveedor.

11. En la operación de un SOC, ¿qué sistema se utiliza con frecuencia para que un analista pueda seleccionar alertas de un grupo con el fin de investigarlas?

  • Sistema de alertas de seguridad basado en el conocimiento
  • Servidor Syslog
  • Sistema de registro
  • Sistema de tickets
Explique: En un SOC, un sistema de tickets se usa típicamente para un sistema de gestión de flujo de trabajo.

12. ¿Cómo puede utilizarse un sistema de administración de información y eventos de seguridad en un SOC para que ayude al personal a luchar contra las amenazas de seguridad?

  • Mediante el filtrado del tráfico de red
  • Mediante la autenticación de usuarios de recursos de red
  • Mediante el cifrado de comunicaciones con sitios remotos
  • Mediante la recopilación y el filtrado de datos
Explique: un sistema de gestión de eventos e información de seguridad (SIEM) combina datos de varias fuentes para ayudar al personal del SOC a recopilar y filtrar datos, detectar y clasificar amenazas, analizar e investigar amenazas y gestionar recursos para implementar medidas preventivas.

13. ¿Cuáles son las tres tecnologías que se deberían incluir en un sistema de administración de información y eventos de seguridad de un SOC? (Elija tres opciones).

  • Dispositivo de firewall
  • inteligencia de amenazas
  • Seguimiento de vulnerabilidades
  • Monitoreo de la seguridad
  • Prevención de intrusiones
  • Conexión VPN
Explique: Las tecnologías en un SOC deben incluir lo siguiente:
  • Recopilación, correlación y análisis de eventos
  • Monitoreo de seguridad
  • Control de seguridad
  • Administración de registros
  • Evaluación de vulnerabilidad
  • Rastreo de vulnerabilidad
  • Inteligencia de amenazas

Los dispositivos de firewall, VPN e IPS son dispositivos de seguridad implementados en la infraestructura de red.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax