Última actualización: abril 1, 2022
1. Cuando se recibe información en tiempo real de eventos de seguridad de múltiples fuentes, ¿qué función en SIEM ofrece captura y procesamiento de datos en un formato común?
- Cumplimiento
- Normalización
- Recopilación de archivos de registro
- Agregación
Explique: SIEM combina herramientas de SEM y SIM para ofrecer algunas funciones útiles, la normalización de datos es una de ellas. La normalización de datos es el proceso que consiste en asignar mensajes de registro de diferentes sistemas a un modelo de datos común con el fin de analizar los eventos de seguridad relacionados, incluso si inicialmente se registran en formatos de fuente diferentes.
2. ¿Cuál es el valor de los hash de archivos para las investigaciones de seguridad de la red?
- Ofrecen confidencialidad.
- Garantizan la disponibilidad de los datos.
- Pueden servir como firmas de malware.
- Aseguran no repudio.
Explique: La confidencialidad, integridad, disponibilidad y no repudio de los datos son componentes cruciales de la seguridad de los datos. El uso de algoritmos de cifrado garantiza la confidencialidad de los datos al proteger la información de que no se divulga a personas, procesos o dispositivos no autorizados. Integridad de datos utiliza hashes o un resumen de mensajes para garantizar la no alteración de los datos. La disponibilidad de los datos garantiza un acceso oportuno y confiable a los datos para los usuarios autorizados, mientras que el no repudio es la capacidad de demostrar que una operación o evento ha ocurrido y no puede ser rechazado más adelante.
3. ¿Qué tecnología es un sistema SIEM de código abierto?
- StealthWatch
- ELK
- Splunk
- Wireshark
Explique: Existen muchos sistemas SIEM disponibles para administradores de redes. La suite ELK es una opción de código abierto.
4. Un administrador de red está trabajando con ELK. La cantidad de tráfico de red que se recopilará mediante la captura de paquetes y la cantidad de entradas de archivos de registro y alertas que generarán los dispositivos de seguridad y de red puede ser enorme. ¿Cuál es la hora predeterminada configurada en Kibana para mostrar las entradas de registro?
- 12 horas
- 36 horas
- 48 horas.
- 24 horas
Explique: Logstash y Beats se utilizan para la ingestión en la pila ELK. Proporcionan acceso a una gran cantidad de entradas de archivos de registro. Debido a que el número de registros que se pueden mostrar es tan grande, Kibana, que es la interfaz visual de los registros, está configurado para mostrar las últimas 24 horas de forma predeterminada.
5. ¿En qué lenguaje de programación está escrito Elasticsearch?
Explique: Elasticsearch es un motor de búsqueda empresarial multiplataforma escrito en Java.
6. ¿Durante cuánto tiempo requiere el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI DSS) que se retenga una pista de auditoría de las actividades de los usuarios relacionadas con la información protegida?
- 6 meses
- 18 meses
- 12 meses
- 24 meses
Explique: A todos les encantaría la seguridad de recopilar y guardar todo, pero debido a problemas de almacenamiento y acceso, la retención de datos NSM indefinidamente no es factible. El período de retención para determinados tipos de información de seguridad puede especificarse en marcos de trabajo para el cumplimiento. El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council PCI DSS) requiere que se conserve durante un año una pista de auditoría de las actividades de los usuarios relacionadas con la información protegida.
7. ¿Cuál es la herramienta de detección de intrusiones basada en host que se integra en Security Onion?
- OSSEC
- Snort
- Wireshark
- Sguil
Explique: OSSEC, que se integra en Security Onion, es un sistema de detección de intrusiones basado en host ( host-based intrusion detection system HIDS) que puede llevar a cabo el monitoreo de la integridad de los archivos, el monitoreo de registros local, el monitoreo del proceso de sistemas y la detección de rootkit.
8. ¿Qué componente central de código abierto de Elastic Stack es responsable de acceder, visualizar e investigar los datos?
- Logstash
- Kibana
- Beats
- Elasticsearch
Explique: Los componentes principales de código abierto de la pila Elastic son Logstash, Beats, Elasticsearch y Kibana. Kibana es responsable de acceder, visualizar e investigar los datos. Elasticsearch es responsable del almacenamiento, indexación y análisis de datos. Logstash y Beats son responsables de adquirir datos de red.
9. ¿Cuál es la hora predeterminada establecida en el archivo securityonion.conf para la retención de datos de alerta de Sguil?
- 45 días
- 15 días
- 30 días
- 60 días
Explique: Los datos de alerta de Sguil se retienen durante 30 días de manera predeterminada. Este valor se establece en el archivo securityonion.conf.
10. ¿Qué herramienta utilizaría un analista para iniciar una investigación de flujo de trabajo?
Explique: Sguil es una aplicación basada en GUI utilizada por analistas especializados en seguridad para analizar eventos de seguridad de la red.
11. ¿Qué componente central de código abierto de Elastic Stack es responsable de almacenar, indexar y analizar datos?
- Logstash
- Kibana
- Beats
- Elasticsearch
Explique: Los componentes principales de código abierto de la pila Elastic son Logstash, Beats, Elasticsearch y Kibana. Kibana es responsable de acceder, visualizar e investigar los datos. Elasticsearch es responsable del almacenamiento, indexación y análisis de datos. Logstash y Beats son responsables de adquirir datos de red.
12. ¿Qué herramienta concentra los eventos de seguridad de múltiples fuentes y puede interactuar con otras herramientas como Wireshark?
Explique: Sguil es una aplicación basada en GUI utilizada por los analistas de seguridad para analizar datos de sesión y capturas de paquetes.