Última actualización: abril 1, 2022
1. ¿Qué clasificación se utiliza para una alerta que identifica de manera correcta que se ha producido un ataque?
- Positivo verdadero
- Falso negativo
- Falso positivo
- Negativo verdadero
Explique: Un positivo verdadero se produce cuando una firma IDS e IPS se activa correctamente y se genera una alarma cuando se detecta tráfico incorrecto.
2. ¿Qué tipo de análisis se basa en condiciones predefinidas y puede analizar las aplicaciones que solo utilizan puertos fijos conocidos?
- Determinista
- Archivo de registro
- Probabilístico
- Estadístico
Explique: El análisis determinista utiliza condiciones predefinidas para analizar las aplicaciones que cumplen con los estándares de la especificación, como realizar un análisis basado en puertos.
3. ¿Qué herramienta incluida en Security Onion utiliza Snort para descargar automáticamente las nuevas reglas?
- ELK
- Sguil
- Wireshark
- PulledPork
Explique: PulledPork es una utilidad de administración de reglas incluida en Security Onion para descargar automáticamente las reglas de Snort.
4. ¿Qué herramienta incluida en Security Onion es una interfaz de panel interactiva para los datos de Elasticsearch?
- Zeek
- Wireshark
- Kibana
- Sguil
Explique: Kibana es una interfaz interactiva para los datos de Elasticsearch. Permite la consulta de datos de NSM y proporciona visualizaciones flexibles de esos datos. Proporciona funciones de exploración de datos y análisis de datos de aprendizaje automático.
5. ¿Qué tipo de análisis se basa en diferentes métodos para establecer la probabilidad de que un evento de seguridad haya ocurrido o de que ocurra?
- Estadístico
- Probabilístico
- Determinista
- Archivo de registro
Explique: Los métodos probabilísticos comprenden el uso de herramientas eficaces para crear una respuesta probabilística como resultado del análisis de las aplicaciones.
6. ¿Qué herramienta NIDS utiliza un enfoque basado en firmas y multithreading nativo para la detección de alertas?
Explique: Suricata es una herramienta NIDS que utiliza un enfoque basado en firmas. También utiliza subprocesos múltiples nativos, lo que permite la distribución del procesamiento de flujo de paquetes en múltiples núcleos de procesador.
7. ¿Cuál es la herramienta de detección de intrusiones basada en host que se integra en Security Onion?
- Snort
- Sguil
- OSSEC
- Wireshark
Explique: OSSEC, que se integra en Security Onion, es un sistema de detección de intrusiones basado en host (HIDS) que puede llevar a cabo el monitoreo de la integridad de los archivos, el monitoreo de registros local, el monitoreo del proceso de sistemas y la detección de rootkit.
8. ¿Cuáles son las tres herramientas de análisis integradas en Security Onion? (Escoja tres opciones).
- Sguil
- Snort
- Kibana
- Wireshark
- Suricata
- OSSEC
Explique: Según la arquitectura Security Onion, las herramientas de análisis son Sguil, Kibana y Wireshark.
9. ¿Qué función proporciona Snort como parte de la Security Onion?
- para generar alertas de intrusión en la red mediante el uso de reglas y firmas
- para ver las transcripciones de pcap generadas por las herramientas de detección de intrusiones
- para normalizar los registros de varios registros de datos de NSM para que puedan representarse, almacenarse y acceder a ellos a través de un esquema común
- para mostrar capturas de paquetes completos para su análisis
Explique: Snort es un NIDS integrado en la Security Onion. Es una fuente importante de los datos de alerta que se indexan en la herramienta de análisis Sguil. Snort utiliza reglas y firmas para generar alertas.
10. ¿Cuál de las siguientes herramientas es un sistema de detección de intrusiones basado en host integrado en Security Onion?
- Suricata
- Wazuh
- Zeek
- Snort
Explique: Wazuh es un HIDS que reemplazará OSSEC en Security Onion. Es una solución completa que proporciona un amplio espectro de mecanismos de protección de endpoints, incluyendo análisis de archivos de registro de host, supervisión de la integridad de archivos, detección de vulnerabilidades, evaluación de configuración y respuesta a incidentes.
11. ¿Qué herramienta utilizaría un analista para iniciar una investigación de flujo de trabajo?
Explique: Sguil es una aplicación basada en GUI utilizada por analistas especializados en seguridad para analizar eventos de seguridad de la red.
12. ¿Qué clasificación de alerta indica que los sistemas de seguridad instalados no están detectando los ataques?
- Falso negativo
- Falso positivo
- Negativo verdadero
- Positivo verdadero
Explique: Una clasificación de falso negativo indica que un sistema de seguridad no ha detectado un ataque real.