Examen CyberOps Associate Final Preguntas y Respuestas Español

23/04/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: marzo 6, 2024

Examen CyberOps Associate (Versión 1.0) – CyberOps Associate 1.0 Final Preguntas y Respuestas Español

1. ¿Qué dos afirmaciones hacen referencia a características de un virus? (Elija dos opciones).

Un virus se autorreplica atacando de manera independiente las vulnerabilidades en las redes.
Por lo general, un virus requiere la activación del usuario final.
El virus proporciona datos confidenciales al atacante, como contraseñas.
Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación y una carga útil.
Un virus puede estar inactivo y luego activarse en un momento o en una fecha en particular.

Explique: El tipo de interacción del usuario final que se requiere para iniciar un virus normalmente es abrir una aplicación, abrir una página web o encender la computadora. Una vez activado, un virus puede infectar otros archivos ubicados en la computadora o en otras computadoras de la misma red.

2. De las siguientes opciones, ¿cuál señala una característica de un caballo de Troya en lo que se refiere a la seguridad de la red?

Se envían enormes cantidades de datos a una interfaz de dispositivo de red particular.
El malware está alojado en un programa ejecutable aparentemente legítimo.
Se utiliza un diccionario electrónico para obtener una contraseña que se usará para infiltrarse en un dispositivo de red clave.
Se destina mucha información a un bloque de memoria particular, y esto hace que que otras áreas de la memoria se vean afectadas.

Explique: Un caballo de Troya lleva a cabo operaciones maliciosas bajo la apariencia de un programa legítimo. Los ataques de denegación de servicio envían cantidades extremas de datos a una interfaz de dispositivo de red o host en particular. Los ataques a contraseñas utilizan diccionarios electrónicos en un intento de aprender las contraseñas. Los ataques de desbordamiento de búfer explotan los búferes de memoria al enviar demasiada información a un host para que el sistema quede inoperable.

3. ¿Cuál de las siguientes es una ventaja de adoptar IMAP en lugar de POP para organizaciones pequeñas?

IMAP envía y recupera correo electrónico, pero POP solamente lo recupera.
Cuando el usuario se conecta a un servidor POP, se mantienen copias de los mensajes en el servidor de correo durante un tiempo breve, pero IMAP los mantiene durante un tiempo prolongado.
Los mensajes se mantienen en los servidores de correo electrónico hasta que se eliminan manualmente del cliente de correo electrónico.
POP solo permite que el cliente almacene mensajes de manera centralizada, mientras que IMAP permite el almacenamiento distribuido.

Explique: IMAP y POP son protocolos que se utilizan para recuperar mensajes de correo electrónico. La ventaja de utilizar IMAP en lugar de POP es que cuando el usuario se conecta a un servidor compatible con IMAP, se descargan copias de los mensajes en la aplicación cliente. Luego, IMAP almacena los mensajes de correo electrónico en el servidor hasta que el usuario los elimina manualmente.

4. ¿Cuáles de las siguientes son dos características de ARP? (Elija dos).

Cuando un host encapsula un paquete en una trama, consulta la tabla de direcciones MAC para determinar la asignación de direcciones IP a direcciones MAC.
Se envía una solicitud de ARP a todos los dispositivos en la LAN Ethernet que contiene la dirección IP del host de destino y su dirección MAC multicast.
Si hay un dispositivo que recibe una solicitud de ARP y tiene la dirección IPv4 de destino, responde con una respuesta de ARP.
Si un host está listo para enviar un paquete a un dispositivo de destino local y tiene la dirección IP pero no la dirección MAC de destino, este genera un broadcast de ARP.
Si ningún dispositivo responde a la solicitud de ARP, entonces el nodo de origen transmite el paquete de datos a todos los dispositivos en el segmento de red.

Explique: Cuando un nodo encapsula un paquete de datos en una trama, necesita la dirección MAC de destino. Primero determina si el dispositivo de destino está en la red local o en una red remota. Luego verifica la tabla ARP (no la tabla MAC) para ver si existe un par de dirección IP y dirección MAC para la dirección IP de destino (si el host de destino está en la red local) o la dirección IP de la puerta de enlace predeterminada (si la host de destino está en una red remota). Si la coincidencia no existe, genera una transmisión ARP para buscar la dirección IP para la resolución de la dirección MAC. Debido a que se desconoce la dirección MAC de destino, la solicitud ARP se transmite con la dirección MAC FFFF.FFFF.FFFF. El dispositivo de destino o la puerta de enlace predeterminada responderán con su dirección MAC, lo que permite que el nodo de envío ensamble la trama. Si ningún dispositivo responde a la solicitud ARP, el nodo de origen descartará el paquete porque no se puede crear una trama.

5. ¿Cuál es una diferencia clave entre los datos capturados por NetFlow y los datos capturados por Wireshark?

Los datos de NetFlow muestran contenido del flujo de red, mientras que los datos de Wireshark muestran estadísticas del flujo de red.
NetFlow utiliza tcpdump para analizar los datos, mientras que Wireshark utiliza nfdump .
NetFlow recopila metadatos de un flujo de red, mientras que Wireshark captura paquetes de datos completos.
NetFlow proporciona datos de transacciones, mientras que Wireshark proporciona datos de sesiones.

Explique: Wireshark captura todo el contenido de un paquete. NetFlow, en cambio, recopila metadatos o datos sobre el flujo.

6. ¿Qué herramienta captura paquetes de datos completos con una interfaz de línea de comandos solamente?

Wireshark
NBAR2
tcpdump
nfdump

Explique: La herramienta de línea de comandos tcpdump es un analizador de paquetes. Wireshark es un analizador de paquetes con una interfaz GUI.

7. Un usuario llama para informar de que un equipo no puede acceder a Internet. El técnico de red solicita al usuario que ejecute el comando ping 127.0.0.1 en una ventana de símbolo del sistema. El usuario informa que el resultado es cuatro respuestas positivas. ¿Qué conclusión se puede extraer sobre la base de esta prueba de conectividad?

La implementación TCP/IP es funcional.
La computadora puede acceder a la red. El problema existe más allá de la red local.
La computadora puede acceder a internet. Sin embargo, es posible que el web browser (navegador web) no funcione.
La dirección IP obtenida del servidor DHCP es correcta.

Explique: El ping 127.0.0.1 comando se utiliza para comprobar que la pila TCP/IP es funcional. Esto verifica que el stack de protocolos funcione correctamente desde la capa de red hasta la capa física, sin enviar una señal en los medios. Es decir, esta prueba no va más allá de la PC en sí. Por ejemplo, no detecta si un cable está conectado a la PC o no.

8. ¿Qué tres campos del encabezado IPv4 no están en un encabezado IPv6? (Elija tres opciones).

Desplazamiento de fragmentos
Identificación
Señalización
Versión
TTL
Protocolo

Explique: A diferencia de IPv4, los routers IPv6 no realizan fragmentación. Por lo tanto, los tres campos relacionados con la fragmentación en el encabezado IPv4 se quitan y no están presentes de igual manera en el encabezado IPv6. Estos tres campos son desplazamiento de fragmentos, señalización e identificación. IPv6 sí admite la fragmentación de paquetes del host mediante el uso de encabezados de extensión, que no son parte del encabezado IPv6.

9. Una la clave del registro de Windows 10 con su descripción. (No se utilizan todas las opciones).

10. ¿Qué formato de PDU se utiliza cuando la NIC de un host recibe bits del medio de red?

Trama
Paquete
Archivo
Segmento

Explique: Cuando los bits se reciben en la capa física de un host, se les da formato de trama en la capa de enlace de datos. En la capa de red, la PDU es un paquete. En la capa de transporte, la PDU es un segmento. Un archivo es una estructura de datos que se puede utilizar en la capa de aplicación.

11. Un usuario está ejecutando el comando tracert a un dispositivo remoto. ¿En qué momento dejaría de reenviar el paquete un router que se encuentra en la ruta hacia el dispositivo de destino?

Cuando los valores de los mensajes de solicitud de eco y de respuesta de eco llegan a cero
Cuando el valor de RTT llega a cero
Cuando el host responde con un mensaje de respuesta de eco ICMP
Cuando el valor en el campo TTL llega a cero
Cuando el router recibe un mensaje de ICMP de tiempo superado

Explique: Cuando un router recibe un paquete de traceroute, el valor en el campo TTL se reduce en 1. Cuando el valor en el campo llega a cero, el enrutador receptor no reenviará el paquete y enviará un mensaje ICMP Tiempo excedido a la fuente.

12. ¿Qué ataque a la red intenta crear un DoS para los clientes al evitar que obtengan un arrendamiento de DHCP?

Ataque de tabla CAM
Suplantación de dirección IP
Suplantación de identidad de DHCP
Inanición DHCP

Explique: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para los clientes de DHCP. Para lograr este objetivo, el atacante usa una herramienta que envía muchos mensajes DHCPDISCOVER con el fin de ceder todo el grupo de direcciones IP disponibles, negándolas así a los hosts legítimos.

13. Consulte la ilustración. Si el Host1 transfiriera un archivo al servidor, ¿qué capas del modelo TCP/IP se utilizarían?

ITN ( Versión 7.00) - Examen final ITNv7 — ITN ( Versión 7.00) – Examen final ITNv7

Solo las capas de aplicación, de Internet y de acceso a la red
Solo las capas de aplicación, de transporte, de Internet y de acceso a la red
Solo las capas de aplicación, de sesión, de transporte, de red, de enlace de datos y física
Solo las capas de aplicación, de transporte, de red, de enlace de datos y física
Solo las capas de aplicación y de Internet
Solo las capas de Internet y de acceso a la red

Explique: el modelo TCP/IP contiene las capas de aplicación, transporte, Internet y acceso a la red. Una transferencia de archivos utiliza el protocolo de capa de aplicación FTP. Los datos se moverían desde la capa de aplicación a través de todas las capas del modelo y a través de la red hasta el servidor de archivos.

14. Una compañía tiene un servidor de archivos que comparte una carpeta con el nombre Pública. La política de seguridad de la red especifica que, en relación con la carpeta Pública, se asignen derechos de solo lectura a cualquier persona que puede iniciar sesión en el servidor y derechos de edición solo al grupo de administradores de la red. ¿Qué componente se aborda en la estructura de servicios de red de AAA?

Autenticación
Autorización
Automatización
Registro

Explique: Después de que un usuario se autentica con éxito (inicia sesión en el servidor), la autorización es el proceso de determinar a qué recursos de red puede acceder el usuario y qué operaciones (como leer o editar) puede realizar el usuario.

15. Un administrador desea crear cuatro subredes a partir de la dirección de red 192.168.1.0/24. ¿Cuál es la dirección de red y la máscara de subred de la segunda subred utilizable?

Subred 192.168.1.32
Máscara de subred 255.255.255.240
Subred 192.168.1.8
Máscara de subred 255.255.255.224
Subred 192.168.1.128
Máscara de subred 255.255.255.192
Subred 192.168.1.64
Máscara de subred 255.255.255.192
Subred 192.168.1.64
Máscara de subred 255.255.255.240

Explique: La cantidad de bits que se toman prestados sería dos, lo que da un total de 4 subredes utilizables:
192.168.1.0
192.168.1.64
192.168.1.128
192.168.1.192
Dado que se toman prestados 2 bits, la nueva máscara de subred sería /26 o 255.255.255.192.

16. ¿Cuáles son las tres tecnologías que se deberían incluir en un sistema de administración de información y eventos de seguridad de SOC? (Elija tres opciones).

dispositivo de firewall
monitoreo de la seguridad
inteligencia de amenazas
prevención de intrusiones
Administración de registros
Servicio proxy

Explique: Las tecnologías de un SOC deberían incluir las siguientes:
Recopilación, correlación y análisis de eventos
Monitoreo de la seguridad
Control de la seguridad
Administración de registros
Evaluación de vulnerabilidades
Seguimiento de vulnerabilidades
Inteligencia de amenazas
Los servidores proxy, VPN e IPS son dispositivos de seguridad implementados en la infraestructura de red.

17. ¿Qué parte del URL http://www.cisco.com/index.html representa el dominio DNS de nivel superior?

.com
http
www
index

Explique: Los componentes del URL http://www.cisco.com/index.htm son los siguientes:
-http = protocolo
-www = parte del nombre del servidor
-cisco = parte del nombre de dominio
-index = nombre de archivo
-com = dominio de nivel superior

18. Una compañía recién creada tiene quince computadoras con Windows 10 que deben instalarse antes de que la compañía empiece a operar. ¿Cuál es la mejor práctica que debe implementar el técnico al configurar el firewall de Windows?

El técnico debe habilitar el firewall de Windows para el tráfico entrante e instalar otro software de firewall para controlar el tráfico saliente.
El técnico debe crear instrucciones para los usuarios corporativos sobre cómo utilizar la cuenta de administrador con el fin de permitir aplicaciones a través del firewall de Windows.
El técnico debe eliminar todas las reglas de firewall predeterminadas y denegar, de manera selectiva, el tráfico que llega a la red de la compañía.
Después de implementar un software de seguridad de terceros para la compañía, el técnico debe verificar que el firewall de Windows esté deshabilitado.

Explique: Solo deshabilite el firewall de Windows si hay otro software de firewall instalado. Use el firewall de Windows (Windows 7 u 8) o el panel de control de firewall de Windows Defender (Windows 10) para habilitar o deshabilitar el firewall de Windows.

19. Después de que una herramienta de monitoreo de seguridad identifica un adjunto con malware en la red, ¿qué beneficio aporta la realización de un análisis retrospectivo?

Un análisis retrospectivo puede ser de ayuda para realizar un seguimiento del comportamiento del malware a partir del punto de identificación.
Puede identificar cómo el malware ingresó originalmente en la red.
Puede calcular la probabilidad de un incidente en el futuro.
Puede determinar qué host de red resultó afectado en primer lugar.

Explique: Con el monitoreo de la seguridad general se puede identificar cuándo un adjunto con malware entra en una red y qué host resulta afectado en primer lugar. El análisis retrospectivo da el siguiente paso y realiza el seguimiento del comportamiento del malware a partir de ese punto.

20. Un técnico de soporte advierte una mayor cantidad de llamadas relacionadas con el rendimiento de las computadoras ubicadas en la planta de fabricación. El técnico cree que los botnets causan el problema. ¿Cuáles de las siguientes son dos propósitos de los botnets? (Elija dos opciones).

Grabar todas las pulsaciones de teclas
Atacar a otras computadoras
Retener acceso a una computadora o a archivos hasta que se haya pagado el dinero
Obtener acceso a la parte restringida del sistema operativo
Transmitir virus o correo electrónico no deseado en computadoras de la misma red

Explique: Las botnets pueden utilizarse para realizar ataques de DDoS, obtener datos o transmitir malware a otros dispositivos en la red.

21. De las siguientes afirmaciones, seleccione dos que describan el uso de algoritmos asimétricos. (Elija dos opciones).

Si se utiliza una clave pública para cifrar los datos, debe utilizarse una clave pública para descifrarlos.
Si se utiliza una clave privada para cifrar los datos, debe utilizarse una clave pública para descifrarlos.
Si se utiliza una clave privada para cifrar los datos, debe utilizarse una clave privada para descifrarlos.
Si se utiliza una clave pública para cifrar los datos, debe utilizarse una clave privada para descifrarlos.
Las claves públicas y privadas pueden utilizarse indistintamente.

Explique: Los algoritmos asimétricos utilizan dos claves: una clave pública y una clave privada. Ambas claves son capaces de realizar el proceso de cifrado, pero se requiere la clave complementaria coincidente para el descifrado. Si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.

22. Coloque los siete pasos definidos en la cadena de destrucción cibernética (Cyber Kill Chain) en el orden correcto.

23. ¿Qué campo en el encabezado TCP indica el estado del three-way handshake?

checksum
ventana
control bits
reservado

Explique: Los bits de control en el encabezado TCP indican el progreso y estado de la conexión.

24. ¿Cuáles de las siguientes son dos funciones que proporciona la capa de red? (Elija dos).

Proporcionar conexiones de extremo a extremo dedicadas.
Transportar datos entre los procesos que se ejecutan en los hosts de origen y destino.
Proporcionar a los dispositivos finales un identificador de red único.
Colocar datos en el medio de red.
Dirigir los paquetes de datos a los hosts de destino en otras redes.[/box]

25. Una aplicación cliente necesita finalizar una sesión de comunicación TCP con un servidor. Coloque los pasos del proceso de finalización en el orden en que suceden. (No se utilizan todas las opciones.)

Módulos 14 - 15 Examen de comunicaciones de aplicaciones de red 9 — Módulos 14 – 15 Examen de comunicaciones de aplicaciones de red 9

Explique: Para finalizar una sesión TCP, el cliente envía al servidor un segmento con el indicador FIN establecido. El servidor envía al cliente un segmento con el indicador ACK establecido para dar acuse de recibo. El servidor envía un FIN al cliente para terminar la sesión de servidor a cliente. El cliente envía un segmento con el indicador ACK establecido para dar acuse de recibo de la finalización.

26. Observe la ilustración. El PC está enviando un paquete al servidor en la red remota. El router R1 está realizando una sobrecarga NAT. Desde la perspectiva de la PC, coincida con el tipo de dirección NAT con la dirección IP correcta. (No se utilizan todas las opciones).

Módulos 6 - 8: Examen de conceptos de WAN Respuestas 38 — Módulos 6 – 8: Examen de conceptos de WAN Respuestas 38

Explique: La dirección local interna es la dirección IP privada origen del PC en esta instancia. La dirección global interna es la dirección traducida de la fuente o la dirección vista por el dispositivo externo. Dado que la PC está utilizando la dirección externa del router R1, la dirección global interna es 192.0.2.1. El direccionamiento externo es simplemente la dirección del servidor o 203.0.113.5.

27. ¿Qué tres afirmaciones describen un mensaje de descubrimiento de DHCP? (Elija tres).

Todos los hosts reciben el mensaje pero sólo responde un servidor de DHCP.
Solamente el servidor de DHCP recibe el mensaje.
La dirección IP de destino es 255.255.255.255.
El mensaje proviene de un cliente que busca una dirección IP.
El mensaje proviene de un servidor que ofrece una dirección IP.
La dirección MAC de origen tiene 48 bits (FF-FF-FF-FF-FF-FF).

Explique: Cuando un host configurado para utilizar DHCP se activa en una red, envía un mensaje DHCPDISCOVER. FF-FF-FF-FF-FF-FF es la dirección de broadcast de L2. Un servidor de DHCP responde al host con un mensaje unicast DHCPOFFER.

28. ¿Cuáles son los dos métodos que puede utilizar una NIC inalámbrica para descubrir un AP? (Elija dos opciones).

Recepción de una trama de señal de difusión
Comienzo de un protocolo de enlace de tres vías
Envío de una solicitud de ARP de difusión
Transmisión de una solicitud de sondeo
Envío de una trama de multidifusión

_Explique: Un dispositivo inalámbrico puede utilizar dos métodos para descubrir y registrarse con un punto de acceso: modo pasivo y modo activo. En modo pasivo, el AP envía una trama de baliza de transmisión que contiene el SSID y otras configuraciones inalámbricas. En el modo activo, el dispositivo inalámbrico debe configurarse manualmente para el SSID y luego el dispositivo transmite una solicitud de sondeo.

29. ¿Qué dos mensajes ICMPv6 se utilizan durante el proceso de resolución de direcciones MAC Ethernet? (Escoja dos.)

Anuncio de vecino
anuncio de router
Solicitud de vecino
solicitud de router
Solicitud echo

Explique: IPv6 utiliza mensajes ICMPv6 de solicitud de vecino (NS) y anuncio de vecino (NA) para la resolución de direcciones MAC.

30. Observe la ilustración. ¿Cual es la dirección IP se debe utilizar como puerta de enlace predeterminada del host H1?

R1: G0/0
R1: S0/0/0
R2: S0/0/1
R2: S0/0/0

31. ¿Qué dos protocolos pueden utilizar los dispositivos en el proceso de solicitud que implica el envío de un correo electrónico? (Elija dos opciones).

IMAP
POP
HTTP
POP3
SMTP
DNS

Explique: Los protocolos POP, POP3 e IMAP se utilizan para recuperar mensajes de correo electrónico de los servidores. SMTP es el protocolo predeterminado que se utiliza para enviar correo electrónico. El servidor de correo electrónico del remitente puede utilizar DNS para encontrar la dirección del servidor de correo electrónico de destino.

32. ¿Qué tipo de evidencia no puede comprobar un hecho de seguridad de RI por sí sola?

Confirmatoria
La mejor
Rumores
Indirecta

Explique: La evidencia indirecta no puede comprobar un hecho por sí sola; en cambio, la evidencia directa sí puede. La evidencia confirmatoria es información de respaldo. La mejor evidencia es más confiable porque es algo concreto, como un contrato firmado.

33. Consulte la ilustración. Los switches tienen su configuración predeterminada. El host A debe comunicarse con el host D, pero no tiene la dirección MAC del gateway predeterminado. ¿Qué hosts de la red reciben la solicitud de ARP que envía el host A?

CCNA 1 Examen Final Preguntas y Respuestas 13

Solo el router R1
Solo los hosts A, B, C y D
Solo el host D
Solo los hosts B y C, y el router R1
Solo los hosts A, B y C
Solo los hosts B y C

_Explique: Dado que el host A no tiene la dirección MAC de la gateway predeterminado en su tabla ARP, el host A envía una transmisión ARP. La transmisión de ARP se enviaría a todos los dispositivos de la red local. Los hosts B, C y el enrutador R1 recibirían la transmisión. El enrutador R1 no reenvía el mensaje.

34. Cuando se establece el perfil de una red para una organización, ¿qué elemento describe el tiempo que transcurre entre el establecimiento de un flujo de datos y su finalización?

Ancho de banda de la conexión a Internet
Convergencia de protocolo de routing
Rendimiento total
Duración de la sesión

Explique: Un perfil de red debería incluir algunos elementos importantes, como los siguientes:
Rendimiento total : la cantidad de datos que pasa de un origen dado a un destino determinado en un período de tiempo especificado
Duración de la sesión : el tiempo transcurrido desde que se establece el flujo de datos y su finalización
Puertos utilizados : una lista de procesos de TCP o UDP que están disponibles para aceptar datos
Espacio de direcciones para activos críticos : las direcciones IP o la ubicación lógica de los sistemas o datos esenciales

35. ¿Cuál de las siguientes máscaras de subred se representa con la notación de barra diagonal /20?

255.255.255.248
255.255.255.0
255.255.240.0
255.255.224.0
255.255.255.192

Explique: la notación de barra diagonal / 20 representa una máscara de subred con 20 1s. Esto se traduciría a 11111111.11111111.11110000.0000, lo que se podría convertir, a su vez, en 255.255.240.0.

36. ¿Qué dos medidas deben adoptarse durante la fase de preparación del ciclo de vida de respuesta ante los incidentes definido por NIST? (Elija dos opciones).

Crear el CSIRT y capacitar a sus miembros.
Adquirir e implementar las herramientas necesarias para investigar los incidentes.
Detectar todos los incidentes que se produjeron.
Analizar completamente el incidente.
Reunirse con todas las partes involucradas para hablar sobre el incidente ocurrido.

Explique: De acuerdo con las pautas definidas en el ciclo de vida de la respuesta ante los incidentes de NIST, deben adoptarse varias medidas durante la fase de preparación, que incluyen (1) crear el CSIRT y capacitar a sus miembros, y (2) adquirir e implementar las herramientas que necesita el equipo para investigar los incidentes.

37. ¿Cuáles son las dos tareas que puede realizar un servidor DNS local? Elija dos opciones.

Asignar nombres a direcciones IP para los hosts internos.
Permitir la transferencia de datos entre dos dispositivos de red.
Recuperar mensajes de correo electrónico.
Proporcionar direcciones IP a los hosts locales.
Reenviar solicitudes de resolución de nombres entre servidores.

Explique: Dos funciones importantes del DNS son proporcionar direcciones IP para nombres de dominio (como www.cisco.com) y reenviar las solicitudes que no se pueden resolver a otros servidores a fin de proporcionar nombres de dominio para la traducción de direcciones IP.DHCP proporciona información de asignación de direcciones IP a los dispositivos locales. Un protocolo de transferencia de archivos, como FTP, SFTP o TFTP, proporciona servicios de transferencia de archivos. IMAP y POP se pueden utilizar para recuperar un mensaje de correo electrónico de un servidor.

38. ¿Cuáles de los siguientes son dos problemas de red potenciales que pueden surgir del funcionamiento del protocolo ARP? (Elija dos).

En redes grandes que tienen un ancho de banda bajo, varios broadcasts de ARP pueden causar retrasos en la comunicación de datos.
Una gran cantidad de transmisiones de solicitud de ARP pueden provocar que la tabla de direcciones MAC del host se desborde e impedir que el host se comunique dentro de la red.
Varias respuestas ARP provocan que la tabla de direcciones MAC del switch incluya entradas que coinciden con las direcciones MAC de los hosts que están conectados al puerto del switch pertinente.
Los atacantes de la red podrían manipular las asignaciones de direcciones MAC e IP en mensajes ARP con el objetivo de interceptar el tráfico de la red.
La configuración manual de asociaciones ARP estáticas puede facilitar el envenenamiento ARP o la suplantación de direcciones MAC.

Explique: Un gran número de mensajes de broadcast de ARP podría generar retrasos momentáneos en las comunicaciones de datos. Los atacantes de la red podrían manipular las asignaciones de direcciones MAC e IP en mensajes ARP con el objetivo de interceptar el tráfico de la red. Las solicitudes de ARP y las respuestas hacen que se creen entradas en la tabla ARP, no en la tabla de direcciones MAC. Los desbordamientos de la tabla ARP son muy poco probables. Configurar manualmente asociaciones ARP estáticas es una manera de impedir el envenenamiento ARP y la suplantación de direcciones MAC, no de facilitarlos. Las diversas respuestas ARP, cuyo resultado es la tabla de direcciones MAC del switch que contiene entradas que coinciden con las direcciones MAC de los nodos conectados y están asociadas al puerto del switch pertinente, son necesarias para las operaciones normales de reenvío de tramas del switch. No se trata de un problema de red causado por ARP.

39. ¿Cuál protocolo de la capa de aplicación se utiliza para permite a las aplicaciones de Microsoft el uso compartido de archivos y los servicios de impresión?

HTTP
DHCP
SMB
SMTP

Explique: SMB se utiliza para el uso compartido de archivos y los servicios de impresión. El sistema operativo Linux también proporciona un método de intercambio de recursos con redes de Microsoft mediante una versión de SMB llamada SAMBA.

40. Consulte la ilustración. Un administrador intenta resolver problemas de conectividad entre la PC1 y la PC2 y, para lograrlo, utiliza el comando tracert en la PC1. Sobre la base del resultado que se muestra, ¿por dónde debería comenzar a resolver el problema el administrador?

Módulos 11 - 13 Examen de direccionamiento IP Respuestas 35 — Módulos 11 – 13 Examen de direccionamiento IP Respuestas 35

Explique: Tracert se utiliza para rastrear la ruta que toma un paquete. La única respuesta correcta fue la del primer dispositivo en la ruta ubicado en la misma red LAN que el host emisor. El primer dispositivo es el gateway predeterminado del router R1. Por lo tanto, el administrador debe comenzar la resolución de problemas en R1.

41. ¿Qué dos campos o características examina Ethernet para determinar si una trama recibida es pasada a la capa de enlace de datos o descartada por la NIC? (Escoja dos opciones).

Dirección MAC de origen
Secuencia de verificación de trama
tamaño mínimo de trama
CEF
MDIX automático

Explique: Una trama Ethernet no se procesa y se descarta si es menor que el mínimo (64 bytes) o si el valor de la secuencia de comprobación de trama calculada (FCS) no coincide con el valor FCS recibido. Auto-MDIX (cruce automático de interfaz dependiente del medio) es tecnología de capa 1 que detecta los tipos de cable directo o cruzado. La dirección MAC de origen no se utiliza para determinar cómo se recibe la trama. CEF (Cisco Express Forwarding) es una tecnología utilizada para acelerar switching a nivel 3.

42. En términos de NAT, ¿qué tipo de dirección se refiere a la dirección IPv4 enrutable globalmente de un host de destino en Internet?

Global interna
Local interna
Local externa
Global externa

Explique: Desde el punto de vista de un dispositivo NAT, los usuarios externos usan direcciones globales internas para acceder a los hosts internos. Las direcciones locales internas son las direcciones asignadas a hosts internos. Las direcciones globales externas son las direcciones de destinos en la red externa. Las direcciones locales externas son las direcciones privadas reales de hosts de destino detrás de dispositivos NAT.

43. ¿Cuál de estas afirmaciones sobre los protocolos de red es correcta?

Los protocolos de red definen el tipo de hardware que se utiliza y la forma en que se monta en bastidores.
Definen cómo se intercambian los mensajes entre el origen y el destino.
Solo se requieren para el intercambio de mensajes entre dispositivos de redes remotas.
Todos funcionan en la capa de acceso a la red de TCP/IP.

Explique: Los protocolos de red se implementan en el hardware, el software o ambos. Estos interactúan entre sí dentro de las distintas capas de un stack de protocolos. Los protocolos no tienen nada que ver con la instalación del equipo de red. Los protocolos de red son necesarios para intercambiar información entre los dispositivos de origen y de destino tanto en redes locales como remotas.

44. ¿Qué protocolo o servicio utiliza UDP para una comunicación cliente a servidor y TCP para la comunicación servidor a servidor?

HTTP
SMTP
FTP
DNS

Explique: Algunas aplicaciones pueden utilizar TCP y UDP. DNS utiliza UDP cuando los clientes envían solicitudes a un servidor DNS, y TCP cuando dos servidores DNS se comunican directamente.

45. Seleccione los dos tipos de ataques utilizados en resoluciones de DNS abiertas. (Elija dos opciones).

Uso de recursos
Amortiguación
Fast flux
Amplificación y reflexión
Envenenamiento ARP

Explique:Los tres tipos de ataques que se utilizan en los solucionadores abiertos de DNS son los siguientes: Envenenamiento de la caché de DNS: el atacante envía información falsificada falsificada para redirigir a los usuarios de sitios legítimos a sitios maliciosos
Ataques de amplificación y reflexión de DNS: el atacante envía un mayor volumen de ataques para enmascarar la verdadera fuente del ataque.
Ataques de utilización de recursos de DNS: un ataque de denegación de servicio (DoS) que consume recursos del servidor

46. ¿Cuáles son las tres funciones proporcionadas por el servicio de syslog? (Elija tres opciones.)

Recopilar información de registro para el control y la solución de problemas.
Especificar los destinos de los mensajes capturados.
Sondear de forma periódica a los agentes para obtener datos.
Proporcionar estadísticas sobre los paquetes que recorren un dispositivo Cisco.
Seleccionar el tipo de información de registro que se captura.
Ofrecer análisis de tráfico.

Explique: El servicio de syslog proporciona tres funciones principales:
recopilación de la información de registro
selección del tipo de información que se registrará
selección del destino de la información registrada

47. Un empleado conecta inalámbrica con la red de la empresa mediante un teléfono celular. El empleado luego configurar el teléfono celular para operar como un punto de acceso inalámbrico que permite que los nuevos empleados se conecten con la red de la empresa. ¿Qué mejor de amenazas por tipo de seguridad se describe esta situación?

el agrietarse
suplantación de identidad
punto de acceso dudoso
denegación de servicio

_Explique: Configurar el teléfono celular para que actúe como un punto de acceso inalámbrico significa que el teléfono celular ahora es un punto de acceso no autorizado. El empleado, sin saberlo, violó la seguridad de la red de la empresa al permitir que un usuario acceda a la red sin conectarse a través del punto de acceso de la empresa. El descifrado es el proceso de obtener contraseñas a partir de datos almacenados o transmitidos en una red. Los ataques de denegación de servicio se refieren al envío de grandes cantidades de datos a un dispositivo en red, como un servidor, para evitar el acceso legítimo al servidor. La suplantación de identidad se refiere al acceso obtenido a una red o datos por un atacante que parece ser un dispositivo o usuario de red legítimo.

48. ¿Qué métrica en el Grupo de métricas base de CVSS se utiliza con un vector de ataque?

La determinación de si la autoridad inicial cambia a una segunda autoridad durante el ataque
La proximidad del actor de la amenaza a la vulnerabilidad
La presencia o ausencia de la necesidad de interacción con el usuario para que el ataque tenga éxito
La cantidad de componentes, software, hardware o redes fuera del control del atacante y que deben estar presentes para poder atacar una vulnerabilidad con éxito

Explique: El vector de ataque es una de las distintas métricas definidas en el Grupo de métricas base del Sistema común de puntuación de vulnerabilidades (CVSS). El vector de ataque es la proximidad del actor de la amenaza al componente vulnerable. Cuanto más lejos esté el actor de la amenaza del componente, mayor la gravedad porque los actores próximos a la red son más fáciles de detectar y mitigar.

_124. ¿Qué método se utiliza para hacer que los datos sean ilegibles para usuarios no autorizados?

Cifrar los datos.
Fragmentar los datos.
Agregue una suma de verificación al final de los datos.
Asígnale un nombre de usuario y una contraseña.

_Explique: Los datos de la red se pueden cifrar utilizando varias aplicaciones criptográficas para que los datos sean ilegibles para usuarios no autorizados. Los usuarios autorizados cuentan con la aplicación de criptografía para que los datos puedan ser descifrados.

_125. Haga coincidir las pestañas del Administrador de tareas de Windows 10 con sus funciones. (No se utilizan todas las opciones).

_126. Para los sistemas de red, ¿qué sistema de gestión aborda el inventario y el control de las configuraciones de hardware y software?

gestión de activos
gestión de vulnerabilidades
gestión de riesgos
gestión de configuración

_Explique: La gestión de la configuración aborda el inventario y el control de las configuraciones de hardware y software de los sistemas de red.

_127. Haga coincidir la tecnología o el protocolo de red común con la descripción. (No se utilizan todas las opciones).

_128. ¿Cuáles son las tres funciones principales proporcionadas por Security Onion? (Elija tres.)

planificación de la continuidad del negocio
captura de paquetes completos
análisis de alertas
detección de intrusos
administración de dispositivos de seguridad
contención de amenazas

_Explique: Security Onion es un conjunto de herramientas de monitoreo de seguridad de red (NSM) de código abierto para evaluar alertas de seguridad cibernética. Para los analistas de seguridad cibernética, Security Onion proporciona captura completa de paquetes, sistemas de detección de intrusos basados en la red y en el host, y herramientas de análisis de alertas.

_131. ¿Qué tipo de datos se consideraría un ejemplo de datos volátiles?

caché del navegador web
registros de memoria
archivos de registro
archivos temporales

_Explique: Los datos volátiles son datos almacenados en la memoria, como registros, caché y RAM, o son datos que existen en tránsito. La memoria volátil se pierde cuando la computadora se queda sin energía.

_132. ¿Cuál es el objetivo principal de las explotaciones por parte de un actor de amenazas a través del arma entregada a un objetivo durante la fase de explotación de Cyber Kill Chain?

Lanzar un ataque DoS.
Envíe un mensaje a un CnC controlado por el actor de amenazas.
Romper la vulnerabilidad y hacerse con el control del objetivo.
Establezca una puerta trasera en el sistema.

_Explique: Una vez que se ha entregado el arma, el actor de la amenaza la usa para romper la vulnerabilidad y obtener el control del objetivo. El actor de amenazas utilizará un exploit que obtiene el efecto deseado, lo hace en silencio y evita las detecciones. Establecer una puerta trasera en el sistema de destino es la fase de instalación.

_134. ¿Para qué tres herramientas de seguridad mantiene conjuntos de reglas de detección de incidentes de seguridad Cisco Talos? (Elija tres.)

Resoplido
NetStumbler
Socat
SpamCop
Clam AV

_135. ¿Qué cortafuegos basado en host utiliza un enfoque de tres perfiles para configurar la funcionalidad del cortafuegos?

Cortafuegos de Windows
iptables
Envoltorio TCP
nftables

_Explique: Firewall de Windows utiliza un enfoque basado en perfiles para configurar la funcionalidad del firewall. Utiliza tres perfiles, Público, Privado y Dominio, para definir funciones de firewall.

_136. Cuando un usuario visita un sitio web de una tienda en línea que utiliza HTTPS, el navegador del usuario consulta a la CA en busca de una CRL. ¿Cuál es el propósito de esta consulta?

para verificar la validez del certificado digital
para solicitar el certificado digital autofirmado de la CA
para comprobar la longitud de la clave utilizada para el certificado digital
para negociar el mejor cifrado a utilizar

_Explique: Se debe revocar un certificado digital si no es válido. Las CA mantienen una lista de revocación de certificados (CRL), una lista def Números de serie de certificados revocados que han sido invalidados. El navegador del usuario consultará la CRL para verificar la validez de un certificado.

_137. ¿Qué paso en el ciclo de vida de la gestión de vulnerabilidades determina un perfil de riesgo de referencia para eliminar los riesgos en función de la criticidad de los activos, la amenaza de la vulnerabilidad y la clasificación de los activos?

descubrir
evaluar
priorizar los activos
verificar

_Explique: Los pasos del ciclo de vida de la gestión de vulnerabilidades incluyen los siguientes:

Descubrir: haga un inventario de todos los activos en la red e identifique los detalles del host, incluidos los sistemas operativos y los servicios abiertos, para identificar vulnerabilidades
Priorice los activos: clasifique los activos en grupos o unidades comerciales y asigne un valor comercial a los grupos de activos en función de su importancia para las operaciones comerciales
Evaluar: determine un perfil de riesgo de referencia para eliminar los riesgos en función de la criticidad de los activos, las amenazas de vulnerabilidad y la clasificación de activos
Informe: mida el nivel de riesgo comercial asociado con los activos de acuerdo con las políticas de seguridad. Documente un plan de seguridad, controle la actividad sospechosa y describa las vulnerabilidades conocidas.
Corregir: priorice de acuerdo con el riesgo comercial y corrija las vulnerabilidades en orden de riesgo
Verificar: verifique que las amenazas se hayan eliminado mediante auditorías de seguimiento

_138. ¿Qué sistema de administración implementa sistemas que rastrean la ubicación y la configuración de dispositivos y software en red en una empresa?

gestión de activos
gestión de vulnerabilidades
gestión de riesgos
gestión de configuración

_Explique: La gestión de activos implica la implementación de sistemas que rastrean la ubicación y la configuración de dispositivos y software en red en toda una empresa.

_139. Un administrador de red está revisando las alertas del servidor debido a los informes de lentitud de la red. El administrador confirma que una alerta fue un incidente de seguridad real. ¿Cuál es la clasificación de alerta de seguridad de este tipo de escenario?

falso negativo
verdadero positivo
verdadero negativo
falso positivo

_141. ¿Qué dispositivo en un enfoque de defensa en profundidad en capas niega las conexiones iniciadas desde redes que no son de confianza a redes internas, pero permite que los usuarios internos dentro de una organización se conecten a redes que no son de confianza?

cambio de capa de acceso
cortafuegos
enrutador interno
IPS

_Explique: Un firewall suele ser una segunda línea de defensa en un enfoque de defensa en profundidad en capas para la seguridad de la red. El firewall generalmente se conecta a un enrutador de borde que se conecta al proveedor de servicios. El cortafuegos rastrea las conexiones iniciadas dentro de la empresa que salen de la empresa y niega el inicio de conexiones desde redes externas que no son de confianza que van a redes internas de confianza.

_143. ¿Qué tres procedimientos en Sguil se proporcionan a los analistas de seguridad para abordar las alertas? (Elija tres.)

Escalar una alerta incierta.
Correlacione alertas similares en una sola línea.
Categorizar verdaderos positivos.
Pivote a otras fuentes de información y herramientas.
Construya consultas con Query Builder.
Hacer caducar los falsos positivos.

_Explique: Sguil es una herramienta para abordar alertas. Se pueden completar tres tareas en Sguil para administrar alertas:

Las alertas que se han encontrado como falsos positivos pueden caducar.
Se puede escalar una alerta si el analista de ciberseguridad no está seguro de cómo manejarla.
Los eventos que se han identificado como verdaderos positivos se pueden categorizar.

_144. Haga coincidir la métrica SOC con la descripción. (No se aplican todas las opciones).

_145. ¿Qué dos servicios proporciona la herramienta NetFlow? (Elija dos.)

Configuración de QoS
facturación de red basada en el uso
análisis de registros
supervisión de la lista de acceso
supervisión de red

_Explique: NetFlow brinda de manera eficiente un conjunto importante de servicios para aplicaciones IP, que incluyen contabilidad de tráfico de red, facturación de red basada en el uso, planificación de red, seguridad, capacidades de monitoreo de denegación de servicio y monitoreo de red .

_146. Un administrador descubre que un usuario está accediendo a un nuevo establecimientod sitio web que pueda ser perjudicial para la seguridad de la empresa. ¿Qué acción debe tomar primero el administrador en términos de la política de seguridad?

Solicitar al usuario que se detenga de inmediato e informarle que esto constituye motivo de despido.
Cree una regla de firewall que bloquee el sitio web respectivo.
Revise la AUP inmediatamente y haga que todos los usuarios firmen la AUP actualizada.
Suspender inmediatamente los privilegios de red del usuario.

_148. ¿Qué tipo de evento se registra en los dispositivos IPS de próxima generación de Cisco (NGIPS) que utilizan los servicios FirePOWER cuando se detectan cambios en la red supervisada?

intrusión
conexión
host o punto final
descubrimiento de redes

_Explique: Los eventos de descubrimiento de red en Cisco NGIPS representan cambios que se detectaron en la red monitoreada.

_151. ¿Cuál es el beneficio de convertir los datos del archivo de registro en un esquema común?

crea un modelo de datos basado en campos de datos de una fuente
crea un conjunto de extracciones de campos basadas en expresiones regulares
permite la implementación de normalización e inspección parcial
permite un fácil procesamiento y análisis de conjuntos de datos

_Explique: Cuando los datos se convierten a un formato universal, se pueden estructurar de manera efectiva para realizar consultas rápidas y análisis de eventos.

_152. ¿Qué certificación patrocinada por Cisco está diseñada para brindar el primer paso en la adquisición de los conocimientos y las habilidades para trabajar con un equipo SOC?

Asociado de CCNA CyberOps
Nube CCNA
Seguridad CCNA
Centro de datos CCNA

_153. ¿Qué tres direcciones IP se consideran direcciones privadas? (Elija tres.)

198.168.6.18
192.168.5.29
172.68.83.35
128.37.255.6
172.17.254.4
10.234.2.1

_Explique: Las direcciones IP privadas designadas están dentro de los tres rangos de direcciones IP:

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

_155. ¿Cuáles son las etapas que completa un dispositivo inalámbrico antes de poder comunicarse a través de una red LAN inalámbrica?

descubra un AP inalámbrico, autentíquese con el AP, asóciese con el AP
descubra un punto de acceso inalámbrico, asóciese con el punto de acceso, autorícelo con el punto de acceso
descubra un punto de acceso inalámbrico, asóciese con el punto de acceso, autentíquese con el punto de acceso
descubrir un punto de acceso inalámbrico, autorizar con el punto de acceso, asociarse con el punto de acceso

_156. Haga coincidir la secuencia correcta de pasos que normalmente toma un actor de amenazas que lleva a cabo un ataque de sombra de dominio.

_157. ¿Cuáles son dos propiedades de una función hash criptográfica? (Elija dos.)

Las entradas complejas producirán hashes complejos.
La salida tiene una longitud fija.
La función hash es unidireccional e irreversible.
Las funciones hash se pueden duplicar con fines de autenticación.
La entrada para un algoritmo hash particular debe tener un tamaño fijo.

_160. ¿Cuál es una característica de un análisis probabilístico en una evaluación de alerta?

cada evento es el resultado inevitable de causas antecedentes
métodos precisos que producen siempre el mismo resultado basándose en condiciones predefinidas
variables aleatorias que crean dificultad para saber con certeza el resultado de cualquier evento dado
análisis de aplicaciones que se ajustan a los estándares de aplicaciones/redes

_161. ¿Por qué un administrador de red elegiría Linux como sistema operativo en el Centro de operaciones de seguridad (SOC)?

Es más fácil de usar que otros sistemas operativos de servidor.
Se puede adquirir sin cargo.
Se crean más aplicaciones de red para este entorno.
El administrador tiene control sobre funciones de seguridad específicas, pero no sobre aplicaciones estándar.

_162. Un técnico necesita verificar los permisos de archivo en un archivo Linux específico. ¿Qué comando usaría el técnico?

cd
sudo
ls -l
vi

_164. ¿Qué tipo de sistema de archivos se especificó?creado específicamente para medios de disco óptico?

ext3
HFS+
CDFS
ext2

_165. Una pieza de malware obtuvo acceso a una estación de trabajo y emitió una consulta de búsqueda de DNS a un servidor CnC. ¿Cuál es el propósito de este ataque?

para comprobar el nombre de dominio de la estación de trabajo
para enviar datos confidenciales robados con codificación
para enmascarar la dirección IP de la estación de trabajo
para solicitar un cambio de dirección IP

_Explique: Una pieza de malware, después de acceder a un host, puede explotar el servicio DNS comunicándose con servidores de comando y control (CnC) y luego filtrar datos en el tráfico disfrazado como normal Consultas de búsqueda de DNS. Se pueden usar varios tipos de codificación, como base64, binario de 8 bits y hexadecimal para camuflar los datos y evadir las medidas básicas de prevención de pérdida de datos (DLP).

_166. Consulte la exhibición. ¿Qué campo en la ventana de eventos de Sguil indica la cantidad de veces que se detecta un evento para la misma dirección IP de origen y de destino?

CNT
Pr
ST
ID de alerta

_Explique: El campo CNT indica la cantidad de veces que se detecta un evento desde la misma dirección IP de origen y destino. Tener una gran cantidad de eventos puede indicar un problema con las firmas de eventos.

_168. Según la información descrita por Cyber Kill Chain, ¿cuáles dos enfoques pueden ayudar a identificar las amenazas de reconocimiento? (Elija dos.)

Analizar alertas de registro web y datos de búsqueda históricos.
Auditoría de puntos finales para determinar de forma forense el origen del exploit.
Cree guías para detectar el comportamiento del navegador.
Realice un análisis completo de malware.
Comprenda los servidores objetivo, las personas y los datos disponibles para atacar.

_Explique: Los actores de amenazas pueden usar el escaneo de puertos hacia un servidor web de una organización e identificar vulnerabilidades en el servidor. Pueden visitar el servidor web para recopilar información sobre la organización. El registro del servidor web debe estar habilitado y los datos de registro deben analizarse para identificar posibles amenazas de reconocimiento. La creación de libros de jugadas mediante el filtrado y la combinación de actividades web relacionadas por parte de los visitantes a veces puede revelar las intenciones de los actores de amenazas.

_170. ¿Qué describe mejor la dirección IPv4 de destino que utiliza la multidifusión?

una única dirección IP de multidifusión que utilizan todos los destinos de un grupo
una dirección IP única para cada destino del grupo
una dirección de grupo que comparte los últimos 23 bits con la dirección IPv4 de origen
una dirección de 48 bits que está determinada por la cantidad de miembros en el grupo de multidifusión

[alerta-éxito]_Explicar:
La dirección IPv4 de multidifusión de destino es una dirección de grupo, que es una única dirección IP de multidifusión dentro del rango de Clase D.[/box]

_171. ¿Cuál es el resultado de usar dispositivos de seguridad que incluyen servicios de descifrado e inspección HTTPS?

Los dispositivos requieren un control continuo y un ajuste fino.
Los dispositivos presentan demoras en el procesamiento y problemas de privacidad.
Los dispositivos deben tener nombres de usuario y contraseñas preconfigurados para todos los usuarios.
Los contratos de servicio mensuales con sitios de filtrado web de buena reputación pueden ser costosos.

_Explique: HTTPS agrega una sobrecarga adicional al paquete formado por HTTP. HTTPS encripta utilizando Secure Sockets Layer (SSL). Aunque algunos dispositivos pueden realizar el descifrado y la inspección de SSL, esto puede presentar problemas de procesamiento y privacidad.

_172. ¿Cuál es una desventaja de DDNS?

DDNS se considera maligno y debe ser monitoreado por un software de seguridad.
DDNS no puede coexistir en un subdominio de red que también usa DNS.
Usando servicios DDNS gratuitos, los actores de amenazas pueden generar subdominios y cambiar registros DNS de forma rápida y sencilla.
Usando DDNS, un cambio en una asignación de dirección IP existente puede demorar más de 24 horas y podría provocar una interrupción de la conectividad.

173. Haga coincidir la solución antimalware basada en la red con la función. (No se utilizan todas las opciones).

Coloque las opciones en el siguiente orden:

Proporciona filtrado de SPAM y correos electrónicos potencialmente maliciosos antes de que lleguen al punto final	Dispositivo de seguridad de correo electrónico
Proporciona filtrado de sitios web y listas negras antes de que lleguen al punto final	Dispositivo de seguridad web
Permite que solo el sistema autorizado y de quejas se conecte a la red	Control de admisión a la red
Proporciona direcciones IP dinámicas a puntos finales autenticados	No hay respuesta disponible
Proporciona protección de punto final contra virus y malware	Protección avanzada contra malware

_174. Un actor de amenazas ha identificado la vulnerabilidad potencial del servidor web de una organización y está construyendo un ataque.. ¿Qué hará posiblemente el actor de amenazas para construir un arma de ataque?

Obtenga una herramienta automatizada para entregar la carga de malware a través de la vulnerabilidad.
Instala un webshell en el servidor web para un acceso persistente.
Cree un punto de persistencia agregando servicios.
Recopilar las credenciales de los desarrolladores y administradores del servidor web.

_Explique: Una táctica de militarización utilizada por un actor de amenazas después de que se identifica la vulnerabilidad es obtener una herramienta automatizada para entregar la carga de malware a través de la vulnerabilidad.

_175. ¿Qué herramienta incluida en Security Onion es una serie de complementos de software que envían diferentes tipos de datos a los almacenes de datos de Elasticsearch?

OSSEC
Comisario
Latidos
Alerta Elástica

_176. ¿Qué término se utiliza para describir el proceso de identificación de los datos relacionados con NSM que se recopilarán?

archivo de datos
normalización de datos
reducción de datos
retención de datos

_177. Haga coincidir la clasificación de la alerta con la descripción.

_178. Según el NIST, ¿qué paso en el proceso de análisis forense digital implica preparar y presentar información que resultó del escrutinio de datos?

examen
colección
informes
análisis

_Explique: NIST describe el proceso de análisis forense digital que implica los siguientes cuatro pasos:

Recopilación: la identificación de fuentes potenciales de datos forenses y la adquisición, el manejo y el almacenamiento de esos datos
Examen: evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
Análisis: sacar conclusiones de los datos. Deben documentarse las características destacadas, como personas, lugares, horas, eventos, etc.
Informes: preparación y presentación de la información que resultó del análisis. Los informes deben ser imparciales y se deben ofrecer explicaciones alternativas si corresponde

_179. Consulte la exhibición. Un analista de ciberseguridad está utilizando Sguil para verificar las alertas de seguridad. ¿Cómo se ordena la vista actual?

por número de sensor
por IP de origen
por fecha/hora
por frecuencia

_Explique: La columna CNT, entre las columnas ST y Sensor, muestra la frecuencia de las alertas. Al ordenar con frecuencia, el analista tendrá una mejor idea de lo que ha sucedido en la red.

_180. ¿Qué dos opciones son los administradores de ventanas para Linux? (Elija dos.)

Explorador de archivos
Kali
Gnomo
Prueba de penetración
KDE

_182. Un dispositivo cliente ha iniciado una solicitud HTTP segura a un navegador web. ¿Qué número de dirección de puerto conocido está asociado con la dirección de destino?

_Explique: Los números de puerto se utilizan en las comunicaciones TCP y UDP para diferenciar entre los diversos servicios que se ejecutan en un dispositivo. El número de puerto conocido que utilizan los HTTP es el puerto 443.

_183. ¿Qué término describe la evidencia que está en su estado original?

Evidencia que corrobora
La mejor evidencia
Evidencia indirecta
Evidencia directa

_Explique: La evidencia se puede clasificar de la siguiente manera:
Mejor evidencia: Esta es evidencia que está en su estado original. Pueden ser dispositivos de almacenamiento utilizados por un acusado o archivos de archivos que se puede probar que no han sido alterados.
Evidencia corroborante: esta es evidencia que respalda una proposición ya respaldada por evidencia inicial, por lo tanto, confirma la proposición original.
Evidencia indirecta: Esta evidencia actúa en combinación con otros hechos para establecer una hipótesis.

_186. ¿Qué paso del ciclo de vida de la gestión de vulnerabilidades clasifica los activos en grupos o unidades comerciales y asigna un valor comercial a los grupos de activos en función de su importancia para las operaciones comerciales?

remediar
b. priorizar activos
informe
evaluar

_188. Haga coincidir el vector de ataque con la descripción.

_189. Haga coincidir la función de administración de seguridad con la descripción.

_3. ¿Qué técnica se utiliza en los ataques de ingeniería social?

enviar correo electrónico no deseado
desbordamiento de búfer
suplantación de identidad
hombre-en-el-medio

_Explique: un actor de amenazas envía un correo electrónico fraudulento disfrazado de una fuente legítima y confiable para engañar al destinatario para que instale malware en su dispositivo, o para compartir información personal o información financiera.

_4. ¿Cuál es el propósito de implementar VLAN en una red?

Pueden separar el tráfico de usuarios.
Evitan bucles de capa 2.
Eliminan las colisiones de red.
Permiten que los conmutadores reenvíen paquetes de capa 3 sin un enrutador.

_Explique: las VLAN se utilizan en una red para separar el tráfico de usuarios en función de factores como la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del usuario o dispositivo.

_5. Consulte la exhibición. Un analista de seguridad cibernética está viendo los paquetes reenviados por el conmutador S2. ¿Qué direcciones identificarán los marcos que contienen datos enviados desde PCA a PCB?

IP de origen: 192.168.2.1
Fuente MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Horario de verano MAC: 08-CB-8A-5C-BB-BB

IP de origen: 192.168.1.212
Origen MAC: 01-90-C0-E4-AA-AA
Dst IP: 192.168.2.101
Horario de verano MAC: 08-CB-8A-5C-BB-BB

IP de origen: 192.168.1.212
Fuente MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Horario de verano MAC: 08-CB-8A-5C-BB-BB

IP de origen: 192.168.1.212
MAC de origen: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dest MAC: 00-D0-D3-BE-00-00

_Explique: Cuando un mensaje enviado desde PCA a PCB llega al enrutador R2, R2 reescribirá algunos campos de encabezado de marco antes de reenviarlos al conmutador S2. Los marcos contendrán la dirección MAC de origen del enrutador R2 y la dirección MAC de destino de la PCB. Los marcos conservarán el direccionamiento IPv4 original aplicado por PCA, que es la dirección IPv4 de PCA como dirección de origen y la dirección IPv4 de PCB como destino.

_6. Un analista de ciberseguridad necesita recopilar datos de alerta. ¿Cuáles son las tres herramientas de detección para realizar esta tarea en la arquitectura Security Onion? (Elija tres.)

CapME
wazuh
Kibana
Zeek
Sguil
Tiburón de alambre

_7. Haga coincidir la herramienta Security Onion con la descripción.

_8. En las evaluaciones de seguridad de la red, ¿qué tipo de prueba se usa para evaluar el riesgo que representan las vulnerabilidades para una organización específica, incluida la evaluación de la probabilidad de ataques y el impacto de las explotaciones exitosas en la organización?

escaneo de puertos
análisis de riesgos
pruebas de penetración
evaluación de vulnerabilidad

_9. Haga coincidir el elemento del perfil del servidor con la descripción. (No se utilizan todas las opciones).

_Explique: Los elementos de un perfil de servidor incluyen lo siguiente:Puertos de escucha: los demonios y puertos TCP y UDP que pueden estar abiertos en el servidor
Cuentas de usuario: los parámetros que definen el acceso y el comportamiento del usuario
Cuentas de servicio: las definiciones del tipo de servicio que una aplicación puede ejecutar en un host determinado
Entorno de software: las tareas, los procesos y las aplicaciones que pueden ejecutarse en el servidor

_10. Al abordar un riesgo identificado, ¿qué estrategia tiene como objetivo trasladar parte del riesgo a otras partes?

evitación de riesgos
riesgo compartido
retención de riesgos
reducción de riesgos

_11. ¿Qué es un grifo de red?

una tecnología utilizada para proporcionar informes en tiempo real y análisis a largo plazo de eventos de seguridad
una tecnología de Cisco que proporciona estadísticas sobre los paquetes que fluyen a través de un enrutador o conmutador multicapa
una función admitida en los conmutadores de Cisco que permite que el conmutador copie marcos y los reenvíe a un dispositivo de análisis
un dispositivo pasivo que reenvía todo el tráfico y los errores de la capa física a un dispositivo de análisis

_Explique: Se usa un toque de red para capturar el tráfico para monitorear la red. El grifo suele ser un dispositivo de división pasivo implementado en línea en la red y reenvía todo el tráfico, incluidos los errores de la capa física, a un dispositivo de análisis.

_12. Haga coincidir la herramienta de monitoreo con la definición.

_13. Si un SOC tiene un objetivo de 99,999 % de tiempo de actividad, ¿cuántos minutos de tiempo de inactividad al año se considerarían dentro de su objetivo?

Aproximadamente 5 minutos al año.
Aproximadamente 10 minutos al año
Aproximadamente 20 minutos al año.
Aproximadamente 30 minutos al año.

_Explique: Dentro de un año, hay 365 días x 24 horas al día x 60 minutos por hora = 525.600 minutos. Con el objetivo de un tiempo de actividad del 99,999 % del tiempo, el tiempo de inactividad debe controlarse por debajo de 525 600 x (1-0,99999) = 5,256 minutos al año.

_14. El servidor HTTP ha respondido a una solicitud de cliente con un código de estado 200. ¿Qué indica este código de estado?

El servidor entiende la solicitud, pero el recurso no se cumplirá.
La solicitud se completó con éxito.
El servidor no pudo encontrar el recurso solicitado, posiblemente debido a una URL incorrecta.
La solicitud se ha aceptado para su procesamiento, pero el procesamiento no se ha completado.

_16. ¿Qué herramienta de seguridad de depuración pueden usar los black hats para aplicar ingeniería inversa a archivos binarios al escribir exploits?

WinDbg
Oveja de fuego
Limero
AYUDANTE

_17. Haga coincidir las herramientas de ataque con la descripción. (No se utilizan todas las opciones).

_19. ¿Qué es una propiedad de la tabla ARP en un dispositivo?

Las entradas en una tabla ARP tienen una marca de tiempo y se eliminan una vez que expira el tiempo de espera.
Todos los sistemas operativos utilizan el mismo temporizador para eliminar las entradas antiguas de la memoria caché ARP.
Las entradas de direcciones estáticas de IP a MAC se eliminan dinámicamente de la tabla ARP.
Los sistemas operativos Windows almacenan entradas de caché ARP durante 3 minutos.

20. ¿Cuál es el propósito de Tor?

Inspeccionar el tráfico entrante y buscar si se viola una regla o si coincide con la firma de una ataque conocido
Establecer conexión segura con una red remota a través de un enlace inseguro, como una conexión a Internet
Dar ciclos de procesador a tareas informáticas distribuidas en una red P2P de intercambio de procesadores
Permitir que los usuarios naveguen por Internet de forma anónima

Explique: Tor es una plataforma de software y red de hosts entre pares (P2P) que funcionan como routers. Los usuarios acceden a la red Tor mediante un navegador especial que les permite navegar de forma anónima.

_21. ¿Qué dos protocolos de red puede utilizar un actor de amenazas para filtrar datos en el tráfico disfrazado de tráfico de red normal? (Elija dos.)

NTP
DNS
HTTP
Registro del sistema
SMTP

_24. ¿Qué método se puede usar para fortalecer un dispositivo?

mantener el uso de las mismas contraseñas
permitir que los servicios predeterminados permanezcan habilitados
permitir la detección automática de USB
usa SSH y deshabilita el acceso a la cuenta raíz a través de SSH

_Explique: Las mejores prácticas básicas para la protección de dispositivos son las siguientes:
Garantizar la seguridad física.
Minimizar los paquetes instalados.
Deshabilitar los servicios no utilizados.
Use SSH y deshabilite el inicio de sesión de la cuenta raíz a través de SSH.
Mantener actualizado el sistema.
Deshabilite la detección automática de USB.
Aplicar contraseñas seguras.
Forzar cambios periódicos de contraseña.
Evite que los usuarios reutilicen contraseñas antiguas.
Revise los registros periódicamente.

_25. En un sistema operativo Linux, ¿qué componente interpreta los comandos del usuario e intenta ejecutarlos?

GUI
demonio
núcleo
cáscara

_26. Un administrador de red está configurando un servidor AAA para administrar la autenticación RADIUS. ¿Qué dos funciones se incluyen en la autenticación RADIUS? (Elija dos.)

cifrado para todas las comunicaciones
cifrado solo para los datos
proceso único de autenticación y autorización
procesos separados para autenticación y autorización
contraseñas ocultas durante la transmisión

_Explique: la autenticación RADIUS admite las siguientes características:
Autenticación y autorización RADIUS como un solo proceso
Cifra solo la contraseña
Utiliza UDP
Admite tecnologías de acceso remoto, 802.1X y Protocolo de inicio de sesión (SIP)

_27. ¿Qué es la escalada de privilegios?

Las vulnerabilidades en los sistemas se explotan para otorgar niveles de privilegio más altos de los que debería tener alguien o algún proceso.
Todos tienen plenos derechos por defecto sobre todo y los derechos se quitan solo cuando alguien abusa de los privilegios.
A alguien se le otorgan derechos porque él o ella ha recibido un ascenso.
Se produce un problema de seguridad cuando funcionarios corporativos de alto rango exigen derechos sobre sistemas o archivos que no deberían tener.

_Explique: Con el aumento de privilegios, las vulnerabilidades se explotan para otorgar niveles más altos de privilegios. Una vez otorgado el privilegio, el autor de la amenaza puede acceder a información confidencial o tomar el control del sistema.

_28. ¿Cuáles son las dos garantías que ofrece la firma digital sobre el código que se descarga de Internet? (Elija dos.)

El código no contiene virus.
El código no ha sido modificado desde que salió del editor del software.
El código es auténtico y en realidad proviene del editor.
El código no contiene errores.
El código fue encriptado con una clave pública y privada.

_Explique: La firma digital del código proporciona varias garantías sobre el código:
El código es auténtico y en realidad proviene del editor.
El código no ha sido modificado desde que salió del editor de software.
El editor, sin lugar a dudas, publicó el código. Esto proporciona el no repudio del acto de publicación.

29. Una empresa de TI recomienda el uso de aplicaciones PKI para intercambiar información de forma segura entre los empleados. ¿En qué dos casos podría una organización utilizar aplicaciones PKI para intercambiar información de forma segura entre usuarios? (Elija dos opciones). intercambiar información de forma segura entre usuarios? (Elija dos.)

Transferencias FTP
Servidor DNS local
Servicio web HTTPS
Permiso de acceso a archivos y directorios
Autenticación 802.1x

Explique: Infraestructura de clave pública (PKI) es un sistema de terceros conocido como autoridad de certificación o CA. El PKI es el marco que se utiliza para intercambiar información entre las partes en forma segura. Estas son aplicaciones de PKI comunes:

Autenticación de pares basada en certificados SSL/TLS
Asegurar tráfico de red utilizando redes VPN IPsec
Tráfico web HTTPS
Control de acceso a la red mediante la autenticación 802.1x
Protección de correo electrónico utilizando el protocolo S/MIME
Protección de mensajería instantánea
Aprobación y autorización de aplicaciones con firma de código
Protección de datos de usuarios con el sistema de archivos de encriptación (EFS)
Implementación de autenticación de dos factores con tarjetas inteligentes
Protección de dispositivos de almacenamiento USB

_30. ¿Qué medida puede tomar un analista de seguridad para realizar un monitoreo de seguridad efectivo contra el tráfico de red encriptado por tecnología SSL?

Utilice un servidor Syslog para capturar el tráfico de red.
Implemente un dispositivo SSL de Cisco.
Requiere conexiones de acceso remoto a través de IPsec VPN.
Implemente un Cisco ASA.

_31. Un administrador está tratando de desarrollar una política de seguridad BYOD para los empleados que traen una amplia gama de dispositivos para conectarse a la red de la empresa. ¿Qué tres objetivos debe abordar la política de seguridad BYOD? (Elija tres.)

Todos los dispositivos deben estar asegurados contra responsabilidad civil si se utilizan para comprometer la red corporativa.
Todos los dispositivos deben tener autenticación abierta con la red corporativa.
Se deben definir los derechos y actividades permitidos en la red corporativa.
Se deben implementar medidas de seguridad para cualquier dispositivo personal que se vea comprometido.
Se debe definir el nivel de acceso de los empleados al conectarse a la red corporativa.
Todos los dispositivos deben poder conectarse a la red corporativa sin problemas.

_32. Haga coincidir la política de seguridad con el descripcion (No se utilizan todas las opciones).

_33. Relaciona el ataque con la definición. (No se utilizan todas las opciones).

_34. ¿Qué tipo de ataque tiene como objetivo una base de datos SQL utilizando el campo de entrada de un usuario?

Inyección XML
desbordamiento de búfer
Secuencias de comandos entre sitios
inyección SQL

_Explique: Un delincuente puede insertar una declaración SQL maliciosa en un campo de entrada en un sitio web donde el sistema no filtra correctamente la entrada del usuario.

_35. ¿Cuáles son dos características de las direcciones MAC de Ethernet? (Elija dos.)

Las direcciones MAC utilizan una estructura jerárquica flexible.
Se expresan como 12 dígitos hexadecimales.
Son únicas a nivel mundial.
Son enrutables en Internet.
Las direcciones MAC deben ser únicas para las interfaces serial y Ethernet en un dispositivo.

_37. ¿Qué caracteriza a un actor de amenazas?

Todos ellos son individuos altamente calificados.
Siempre usan herramientas avanzadas para lanzar ataques.
Siempre intentan causar algún daño a un individuo u organización.
Todos pertenecen al crimen organizado.

_38. Una computadora le presenta a un usuario una pantalla que solicita el pago antes de que el mismo usuario pueda acceder a los datos del usuario. ¿Qué tipo de malware es este?

una especie de bomba lógica
un tipo de virus
un tipo de gusano
un tipo de ransomware

_Explique: Ransomware comúnmente encripta datos en una computadora y hace que los datos no estén disponibles hasta que el usuario de la computadora paga una suma específica de dinero

_39. ¿Qué tipo de mensaje ICMPv6 proporciona información de direcciones de red a los hosts que usan SLAAC?

solicitud de enrutador
anuncio de vecinos
Solicitud de vecinos
anuncio de enrutador

_40. ¿Qué herramienta incluida en Security Onion es una serie de complementos de software que envían diferentes tipos de datos a los almacenes de datos de Elasticsearch?

Comisario
Latidos
OSSEC
Alerta Elástica

_41. ¿Qué dos tipos de tráfico de red ilegible podrían eliminarse de los datos recopilados por NSM? (Elija dos.)

tráfico STP
Tráfico IPsec
tráfico de actualizaciones de enrutamiento
tráfico SSL
transmitir tráfico

_Explique: para reducir la gran cantidad de datos recopilados para que los analistas de seguridad cibernética puedan concentrarse en las amenazas críticas, algunos datos menos importantes o inutilizables podrían eliminarse de los conjuntos de datos. Por ejemplo, los datos cifrados, como IPsec y el tráfico SSL, podrían eliminarse porque no se pueden leer en un período de tiempo razonable.

_42. ¿Qué componente central de código abierto de Elastic-stack es responsable de aceptar los datos en su formato nativo y hacer que los elementos de los datos sean consistentes en todas las fuentes?

Logstash
Kibana
Latidos
Búsqueda elástica

_43. Haga coincidir la parte interesada del incidente de seguridad con el rol.

_44. En el ciclo de vida del proceso de respuesta a incidentes del NIST, ¿qué tipo de vector de ataque implica el uso de fuerza bruta contra dispositivos, redes o servicios?

medios
suplantación
deserción
pérdida o robo

_Explique: los vectores de ataque comunes incluyen los medios, el desgaste, la suplantación de identidad y la pérdida o el robo. Los ataques de desgaste son cualquier ataque que utilice la fuerza bruta. Los ataques a los medios son los que se inician desde los dispositivos de almacenamiento. Los ataques de suplantación de identidad ocurren cuando se reemplaza algo o a alguien para el propósito del ataque, y los ataques de pérdida o robo son iniciados por equipos dentro de la organización.

_45. Relacionar la organización de seguridad con sus funciones de seguridad. (No se utilizan todas las opciones).

_46. QuéCuál es una característica de CybOX?

Es un conjunto de esquemas estandarizados para especificar, capturar, caracterizar y comunicar eventos y propiedades de operaciones de red.
Permite el intercambio en tiempo real de indicadores de amenazas cibernéticas entre el gobierno federal de EE. UU. y el sector privado.
Es un conjunto de especificaciones para el intercambio de información sobre ciberamenazas entre organizaciones.
Es la especificación de un protocolo de capa de aplicación que permite la comunicación de CTI sobre HTTPS.

_47. Después de que el host A recibe una página web del servidor B, el host A termina la conexión con el servidor B. Haga coincidir cada paso con su opción correcta en el proceso de terminación normal para una conexión TCP. (No se utilizan todas las opciones).

_48. ¿Cuáles son las dos formas en que ICMP puede ser una amenaza para la seguridad de una empresa? (Elija dos.)

recopilando información sobre una red
al corromper los datos entre los servidores de correo electrónico y los destinatarios del correo electrónico
por la infiltración de páginas web
al corromper los paquetes de datos IP de la red
al proporcionar un conducto para ataques DoS

_Explique: ICMP se puede utilizar como conducto para ataques DoS. Se puede utilizar para recopilar información sobre una red, como la identificación de hosts y la estructura de la red, y para determinar los sistemas operativos que se utilizan en la red.

_50. ¿Qué dos comandos net están asociados con el uso compartido de recursos de red? (Elija dos.)

comienzo neto
cuentas netas
cuota neta
uso de red
parada neta

[alerta-éxito]_Explicación:

El comando net es un comando muy importante. Algunos comandos comunes de net incluyen estos:

cuentas de red: establece los requisitos de inicio de sesión y contraseña para los usuarios
sesión de red: lista o desconecta sesiones entre una computadora y otras computadoras en la red
net share: crea, elimina o administra recursos compartidos
net start: inicia un servicio de red o enumera los servicios de red en ejecución
net stop: detiene un servicio de red
uso de la red: conecta, desconecta y muestra información sobre los recursos de red compartidos
vista de red: muestra una lista de computadoras y dispositivos de red en la red

[/box]

_54. Consulte la exhibición. ¿Qué solución puede proporcionar una VPN entre el sitio A y el sitio B para admitir la encapsulación de cualquier protocolo de Capa 3 entre las redes internas de cada sitio?

un túnel IPsec
VPN SSL de Cisco
un túnel GRE
un túnel de acceso remoto

_Explique: Un túnel de encapsulación de enrutamiento genérico (GRE) es una solución de túnel VPN de sitio a sitio no segura que es capaz de encapsular cualquier protocolo de capa 3 entre múltiples sitios a través de una red IP.

_55. ¿Con qué propósito usaría un administrador de red la herramienta Nmap?

protección de las direcciones IP privadas de los hosts internos
identificación de anomalías de red específicas
recopilación y análisis de alertas y registros de seguridad
detección e identificación de puertos abiertos

_56. Haga coincidir el servicio de red con la descripción.

_57. Una aplicación cliente necesita terminar una sesión de comunicación TCP con un servidor. Coloque los pasos del proceso de terminación en el orden en que ocurrirán. (Se utilizan todas las opciones).

_58. Haga coincidir la superficie de ataque con las vulnerabilidades de ataque.

_59. Haga coincidir la aplicación de firewall basada en host de Linux con su descripción.

_63. Haga coincidir el tipo de entrada de la tabla de enrutamiento de la red de destino con una definición.

_64. Una persona que viene a un café por primera vez quiere obtener acceso inalámbrico a Internet usando una computadora portátil. ¿Cuál es el primer paso que hará el cliente inalámbrico para comunicarse a través de la red utilizando un marco de administración inalámbrica?

asociarse con AP
autenticarse en el AP
descubre el AP
acuerde con el AP sobre la carga útil

_Explique: para que los dispositivos inalámbricos se comuniquen en una red inalámbrica, los marcos de administración se utilizan para completar un proceso de tres etapas:

Descubre el PA
Autenticar con el AP
Asociarse con el AP

_65. Se ha asignado a un dispositivo la dirección IPv6 de 2001:0db8:cafe:4500:1000:00d8:0058:00ab/64. ¿Cuál es el identificador de red del dispositivo?

2001:0db8:cafe:4500:1000
2001:0db8:cafe:4500:1000:00d8:0058:00ab
1000:00d8:0058:00ab
2001:0db8:cafe:4500
2001

_Explique: La dirección tiene una longitud de prefijo de /64. Por lo tanto, los primeros 64 bits representan la parte de la red, mientras que los últimos 64 bits representan la parte del host de la dirección IPv6.

_67. ¿Qué término describe un conjunto de herramientas de software diseñadas para aumentar los privilegios de un usuario o para otorgar acceso al usuario a partes del sistema operativo que normalmente no deberían permitirse?

compilador
rootkit
administrador de paquetes
pruebas de penetración

_Explique: un atacante utiliza un rootkit para asegurar una puerta trasera a una computadora comprometida, otorgar acceso a partes del sistema operativo que normalmente no están permitidas o aumentar los privilegios de un usuario.

_68. El personal de seguridad de TI de una organización nota que el servidor web implementado en la DMZ es atacado con frecuencia por actores de amenazas. Se toma la decisión de implementar un sistema de administración de parches para administrar el servidor. ¿Qué método de estrategia de gestión de riesgos se está utilizando para responder al riesgo identificado?

riesgo compartido
evitación de riesgos
reducción de riesgos
retención de riesgos

_Explique: Se han identificado cuatro estrategias potenciales para responder a los riesgos:

_Evitación de riesgos: dejar de realizar las actividades que generan riesgos.

_Reducción de riesgos: disminuya el riesgo tomando medidas para reducir la vulnerabilidad.

_Riesgo compartido: transfiera parte del riesgo a otras partes.

_Retención del riesgo: aceptar el riesgo y sus consecuencias.

_69. ¿Cuáles son las tres características de un sistema de gestión de seguridad de la información? (Elija tres.)

Involucra la implementación de sistemas que rastrean la ubicación y la configuración de dispositivos y software en red en toda una empresa.
Es un enfoque sistemático y de varios niveles para la ciberseguridad.
Aborda el inventario y control de las configuraciones de hardware y software de los sistemas.
Consiste en un conjunto de prácticas que se aplican sistemáticamente para garantizar la mejora continua en la seguridad de la información.
Consiste en un marco de gestión a través del cual una organización identifica, analiza y aborda los riesgos de seguridad de la información.
Se basa en la aplicación de servidores y dispositivos de seguridad.

_Explique: Un Sistema de gestión de la seguridad de la información (SGSI) consta de un marco de gestión a través del cual una organización identifica, analiza y aborda los riesgos de seguridad de la información. Los SGSI no se basan en servidores o dispositivos de seguridad. En cambio, un SGSI consiste en un conjunto de prácticas que una organización aplica sistemáticamente para garantizar la mejora continua en la seguridad de la información. Los SGSI proporcionan modelos conceptuales que guían a las organizaciones en la planificación, implementación, gobierno y evaluación de programas de seguridad de la información.

Los ISMS son una extensión natural del uso de modelos comerciales populares, como la Gestión de calidad total (TQM) y los Objetivos de control para tecnologías de la información y relacionadas (COBIT), en el ámbito de la ciberseguridad.

Un SGSI es un enfoque sistemático de varias capas para la ciberseguridad. El enfoque incluye personas, procesos, tecnologías y las culturas en las que interactúan en un proceso de gestión de riesgos.

_72. ¿Qué describe mejor la amenaza de seguridad de la suplantación de identidad?

enviar correo electrónico masivo a individuos, listas o dominios con la intención de evitar que los usuarios accedan al correo electrónico
enviar cantidades anormalmente grandes de datos a un servidor remoto para evitar que los usuarios accedan a los servicios del servidor
interceptar el tráfico entre dos hosts o insertar información falsa en el tráfico entre dos hosts
hacer que los datos parezcan provenir de una fuente que no es la fuente real

_74. ¿Qué declaración define la diferencia entre los datos de sesión y los datos de transacción en los registros?

Los datos de sesión analizan el tráfico de la red y predicen el comportamiento de la red, mientras que los datos de transacciones registran las sesiones de la red.
Los datos de sesión se usan para hacer predicciones sobre el comportamiento de la red, mientras que los datos de transacciones se usan para detectar anomalías en la red.
Los datos de sesión registran una conversación entre hosts, mientras que los datos de transacción se centran en el resultado de las sesiones de red.
Los datos de sesión muestran el resultado de una sesión de red, mientras que los datos de transacción son una respuesta al tráfico de amenazas de red.

_75. Haga coincidir el tipo de datos de monitoreo de red con la descripción.

_76. ¿Qué dispositivo admite el uso de SPAN para habilitar el monitoreo de actividad maliciosa?

Conmutador Cisco Catalyst
Puerto de hierro de Cisco
Cisco NAC
Agente de seguridad de Cisco

_Explique: SPAN es una tecnología de Cisco que permite redirigir todo el tráfico de un puerto a otro puerto.

_77. ¿Qué término se usa para describir las consultas automatizadas que son útiles para agregar eficiencia al flujo de trabajo de operaciones cibernéticas?

Cadena de matanza cibernética
libro de jugadas
cadena de custodia
rootkit

_Explique: un libro de jugadas es una consulta automatizada que puede agregar eficiencia al flujo de trabajo de operaciones cibernéticas.

_78. Cuando las ACL están configuradas para bloquear la suplantación de direcciones IP y los ataques de inundación DoS, ¿qué mensaje ICMP debe permitirse tanto de entrada como de salida?

respuesta de eco
inalcanzable
extinción de la fuente
eco

_80. ¿Qué dos tipos de datos se clasificarían como información de identificación personal (PII)? (Elija dos.)

lectura del termostato de la casa
número medio de cabezas de ganado por región
número de identificación del vehículo
Uso de urgencias hospitalarias por región
Fotografías de Facebook

_83. ¿Qué tres servicios de seguridad proporcionan las firmas digitales? (Elija tres.)

proporciona no repudio mediante funciones HMAC
garantiza que los datos no han cambiado en tránsito
proporciona cifrado de datos
autentica la fuente
proporciona confidencialidad de los datos firmados digitalmente
autentica el destino

_Explique: Las firmas digitales son una técnica matemática utilizada para proporcionar tres servicios básicos de seguridad. Las firmas digitales tienen propiedades específicas que permiten la autenticación de entidades y la integridad de los datos. Además, las firmas digitales proporcionan no repudio de la transacción. En otras palabras, la firma digital sirve como prueba legal de que el intercambio de datos tuvo lugar.

_84. ¿Cuáles son dos métodos para mantener el estado de revocación del certificado? (Elija dos.)

CRL
DNS
CA subordinada
OCSP
LDAP

_Explique: Es posible que sea necesario revocar un certificado digital si su clave se ve comprometida o si ya no se necesita. La lista de revocación de certificados (CRL) y el Protocolo de estado de certificados en línea (OCSP) son dos métodos comunes para verificar el estado de revocación de un certificado.

_85. ¿Cuáles son dos usos de una lista de control de acceso? (Elija dos.)

Las ACL brindan un nivel básico de seguridad para el acceso a la red.
Las ACL pueden controlar a qué áreas puede acceder un host en una red.
Las ACL estándar pueden restringir el acceso a aplicaciones y puertos específicos.
Las ACL ayudan al enrutador a determinar la mejor ruta a un destino.
Las ACL pueden permitir o denegar el tráfico en función de la dirección MAC que se origina en el enrutador.

_Explique: las ACL se pueden usar para lo siguiente:Limitar el tráfico de red para proporcionar un rendimiento de red adecuado
Restringir la tienda de delicatessenmuy de actualizaciones de enrutamiento
Proporcionar un nivel básico de seguridad.
Filtre el tráfico según el tipo de tráfico que se envía
Filtrar el tráfico según el direccionamiento IP

_86. Un cliente está utilizando SLAAC para obtener una dirección IPv6 para la interfaz. Después de generar y aplicar una dirección a la interfaz, ¿qué debe hacer el cliente antes de que pueda comenzar a usar esta dirección IPv6?

Debe enviar un mensaje de solicitud de enrutador ICMPv6 para determinar qué puerta de enlace predeterminada debe usar.
Debe enviar un mensaje de solicitud de enrutador ICMPv6 para solicitar la dirección del servidor DNS.
Debe enviar un mensaje de solicitud de vecino ICMPv6 para asegurarse de que la dirección no esté ya en uso en la red.
Debe esperar un mensaje de anuncio de enrutador ICMPv6 que dé permiso para usar esta dirección.

_Explique: DHCPv6 sin estado o DHCPv6 con estado usa un servidor DHCP, pero la configuración automática de direcciones sin estado (SLAAC) no. Un cliente SLAAC puede generar automáticamente una dirección basada en la información de los enrutadores locales a través de mensajes de anuncio de enrutador (RA). Una vez que se ha asignado una dirección a una interfaz a través de SLAAC, el cliente debe asegurarse mediante la Detección de direcciones duplicadas (DAD) de que la dirección no está en uso. Para ello, envía un mensaje de solicitud de vecino ICMPv6 y escucha una respuesta. Si se recibe una respuesta, significa que otro dispositivo ya está usando esta dirección.

_87. Un técnico está solucionando un problema de conectividad de red. Los pings al enrutador inalámbrico local son exitosos, pero los pings a un servidor en Internet no lo son. ¿Qué comando CLI podría ayudar al técnico a encontrar la ubicación del problema de red?

tracert
ipconfig
msconfig
ipconfig/renovar

_Explique: La utilidad tracert (también conocida como comando tracert o herramienta tracert) permitirá al técnico ubicar el enlace al servidor que está inactivo. El comando ipconfig muestra los detalles de configuración de la red informática. El comando ipconfig/renew solicita una dirección IP de un servidor DHCP. Msconfig no es un comando de resolución de problemas de red.

_88. ¿Cuáles son dos técnicas de evasión que utilizan los piratas informáticos? (Elija dos.)

Caballo de Troya
pivote
rootkit
reconocimiento
suplantación de identidad

_Explique: los piratas informáticos utilizan los siguientes métodos para evitar la detección: Cifrado y tunelización: ocultar o codificar el contenido de malware
Agotamiento de recursos: mantiene el dispositivo host demasiado ocupado para detectar la invasión
Fragmentación del tráfico: divide el malware en varios paquetes
Interpretación errónea a nivel de protocolo: se cuela por el firewall
Pivot: utiliza un dispositivo de red comprometido para intentar acceder a otro dispositivo
Rootkit: permite que el hacker no sea detectado y oculta el software instalado por el hacker

_89. Cuando se ha producido un ataque a la seguridad, ¿qué dos enfoques deben adoptar los profesionales de la seguridad para mitigar un sistema comprometido durante el paso Acciones sobre los objetivos según lo define el modelo Cyber Kill Chain? (Elija dos.)

Realice análisis forenses de puntos finales para una clasificación rápida.
Capacite a los desarrolladores web para proteger el código.
Cree detecciones para el comportamiento de malware conocido.
Recopilar archivos de malware y metadatos para análisis futuros.
Detecte la filtración de datos, el movimiento lateral y el uso no autorizado de credenciales.

_Explique: Cuando se alerta a los profesionales de seguridad sobre los compromisos del sistema, se debe realizar un análisis forense de los puntos finales de inmediato para una clasificación rápida. Además, se deben mejorar los esfuerzos de detección para otras actividades de ataque, como la filtración de datos, el movimiento lateral y el uso no autorizado de credenciales, para reducir al mínimo los daños.

_92. Un usuario abre tres navegadores en la misma PC para acceder a www.cisco.com y buscar información sobre cursos de certificación. El servidor web de Cisco envía un datagrama como respuesta a la solicitud de uno de los navegadores web. ¿Qué información utiliza la pila de protocolos TCP/IP en la PC para identificar cuál de los tres navegadores web debe recibir la respuesta?

la dirección IP de origen
el número de puerto de destino
la dirección IP de destino
el número de puerto de origen

_Explique: Cada aplicación de cliente de navegador web abre un número de puerto generado aleatoriamente en el rango de los puertos registrados y usa este número como el número de puerto de origen en el datagrama que envía a un servidor . A continuación, el servidor utiliza este número de puerto como destino.número de puerto de acción en el datagrama de respuesta que envía al navegador web. La PC que ejecuta la aplicación del navegador web recibe el datagrama y utiliza el número de puerto de destino que se encuentra en este datagrama para identificar la aplicación cliente.

_93. ¿Cuáles son dos escenarios en los que el análisis de seguridad probabilístico se adapta mejor? (Elija dos.)

cuando se analizan aplicaciones que se ajustan a los estándares de aplicaciones/redes
al analizar eventos con la suposición de que siguen pasos predefinidos
cuando las variables aleatorias dificultan saber con certeza el resultado de cualquier evento
al analizar aplicaciones diseñadas para eludir cortafuegos
cuando cada evento es el resultado inevitable de causas antecedentes

_Explique: El análisis probabilístico se basa en técnicas estadísticas que están diseñadas para estimar la probabilidad de que ocurra un evento en función de la probabilidad de que ocurran eventos anteriores.

_94. ¿Qué herramienta es una aplicación web que brinda al analista de seguridad cibernética un medio fácil de leer para ver una sesión completa de Capa 4?

Resoplar
Zeek
CapME
OSSEC

_95. Relaciona la categoría de los ataques con la descripción. (No se utilizan todas las opciones).

_96. ¿Cuáles son dos características del método SLAAC para la configuración de direcciones IPv6? (Elija dos.)

La puerta de enlace predeterminada de un cliente IPv6 en una LAN será la dirección de enlace local de la interfaz del enrutador conectada a la LAN.
Este método con estado para adquirir una dirección IPv6 requiere al menos un servidor DHCPv6.
Los clientes envían mensajes de anuncios de enrutadores a los enrutadores para solicitar el direccionamiento IPv6.
El direccionamiento IPv6 se asigna dinámicamente a los clientes mediante el uso de ICMPv6.
El enrutador envía mensajes de solicitud de enrutador para ofrecer direcciones IPv6 a los clientes.

_97. Un técnico nota que una aplicación no responde a los comandos y que la computadora parece responder lentamente cuando se abren las aplicaciones. ¿Cuál es la mejor herramienta administrativa para forzar la liberación de los recursos del sistema de la aplicación que no responde?

Visor de eventos
Restaurar sistema
Agregar o quitar programas
Administrador de tareas

_Explique: Use la pestaña Rendimiento del administrador de tareas para ver una representación visual de la utilización de CPU y RAM. Esto es útil para determinar si se necesita más memoria. Utilice la pestaña Aplicaciones para detener una aplicación que no responde.

_98. ¿Cómo se pueden usar los datos estadísticos para describir o predecir el comportamiento de la red?

al comparar el comportamiento normal de la red con el comportamiento actual de la red
grabando conversaciones entre puntos finales de la red
listando los resultados de las actividades de navegación web del usuario
al mostrar mensajes de alerta generados por Snort

_Explique: Los datos estadísticos se crean a través del análisis de otras formas de datos de red. Las características estadísticas del comportamiento normal de la red se pueden comparar con el tráfico de red actual en un esfuerzo por detectar anomalías. Las conclusiones resultantes del análisis se pueden utilizar para describir o predecir el comportamiento de la red.

_100. ¿Qué función central del marco de ciberseguridad del NIST se ocupa del desarrollo y la implementación de salvaguardas que garanticen la prestación de servicios de infraestructura crítica?

responder
detectar
identificar
recuperar
proteger

_101. ¿Qué dos técnicas se utilizan en un ataque pitufo? (Elija dos.)

secuestro de sesión
agotamiento de recursos
redes de bots
amplificación
reflexión

_102. ¿Cuál es el objetivo principal de una plataforma de inteligencia de amenazas (TIP)?

para agregar los datos en un solo lugar y presentarlos en un formato comprensible y utilizable
para proporcionar una especificación para un protocolo de capa de aplicación que permita la comunicación de CTI a través de HTTPS
para proporcionar un esquema estandarizado para especificar, capturar, caracterizar y comunicar eventos y propiedades de las operaciones de red
proporcionar una plataforma de operaciones de seguridad que integre y mejore diversas herramientas de seguridad e inteligencia de amenazas

_103. ¿Qué parámetro inalámbrico utiliza un punto de acceso para transmitir tramas que incluyen el SSID?

modo de seguridad
modo activo
modo pasivo
configuración de canal

[cajatype=»success»]_Explique: Los dos modos de escaneo o sondeo en los que se puede colocar un punto de acceso son pasivo o activo. En modo pasivo, el AP anuncia el SSID, los estándares admitidos y la configuración de seguridad en tramas de balizas de difusión. En modo activo, el cliente inalámbrico debe configurarse manualmente para los mismos parámetros inalámbricos que ha configurado el AP.[/box]

_104. Haga coincidir el campo en la tabla de eventos de Sguil con la descripción.

Hacer coincidir el campo de la tabla de eventos de Sguil con la descripción

_106. ¿Qué información se requiere para una consulta de WHOIS?

fuera de la dirección global del cliente
Dirección del servidor de búsqueda de ICANN
dirección local del vínculo del propietario del dominio
FQDN del dominio

_107. ¿Qué dos afirmaciones describen las características de los algoritmos simétricos? (Elija dos.)

Se denominan clave precompartida o clave secreta.
Utilizan un par de clave pública y clave privada.
Se utilizan comúnmente con tráfico VPN.
Proporcionan confidencialidad, integridad y disponibilidad.

_Explique: Los algoritmos de cifrado simétrico utilizan la misma clave (también llamada secreto compartido) para cifrar y descifrar los datos. Por el contrario, los algoritmos de cifrado asimétrico utilizan un par de claves, una para cifrar y otra para descifrar.

_108. ¿Cuáles son dos inconvenientes de usar HIPS? (Elija dos.)

Con HIPS, no se puede determinar fácilmente el éxito o el fracaso de un ataque.
Con HIPS, el administrador de la red debe verificar la compatibilidad con todos los diferentes sistemas operativos utilizados en la red.
HIPS tiene dificultades para construir una imagen de red precisa o coordinar eventos que ocurren en toda la red.
Si el flujo de tráfico de la red está encriptado, HIPS no puede acceder a las formas no encriptadas del tráfico.
Las instalaciones de HIPS son vulnerables a ataques de fragmentación o ataques TTL variables

_110. ¿Qué consideración es importante al implementar syslog en una red?

Habilite el nivel más alto de syslog disponible para garantizar el registro de todos los posibles mensajes de eventos.
Sincronice los relojes en todos los dispositivos de la red con un protocolo como Network Time Protocol.
Registre todos los mensajes en el búfer del sistema para que puedan mostrarse al acceder al enrutador.
Utilice SSH para acceder a la información de syslog

_111. ¿Cuáles son las dos formas en que los actores de amenazas usan NTP? (Elija dos.)

Colocan un archivo adjunto dentro de un mensaje de correo electrónico.
Atacan la infraestructura NTP para corromper la información utilizada para registrar el ataque.
Colocan iFrames en una página web corporativa de uso frecuente.
Codifican los datos robados como la parte del subdominio donde el servidor de nombres está bajo el control de un atacante.
Los actores de amenazas usan sistemas NTP para dirigir ataques DDoS.

_112. ¿Qué dos funciones incluyen los protocolos TACACS+ y RADIUS? (Elija dos.)

cifrado de contraseña
procesos separados de autenticación y autorización
Soporte SIP
utilización de protocolos de capa de transporte
Compatibilidad con 802.1X

_Explique: Tanto TACACS+ como RADIUS admiten el cifrado de contraseña (TACACS+ cifra todas las comunicaciones) y usan el protocolo de capa 4 (TACACS+ usa TCP y RADIUS usa UDP). TACACS+ admite la separación de los procesos de autenticación y autorización, mientras que RADIUS combina la autenticación y la autorización como un solo proceso. RADIUS admite tecnología de acceso remoto, como 802.1x y SIP; TACACS+ no lo hace.

_113. Haga coincidir la función SIEM con la descripción.

_115. ¿Cuáles son los tres objetivos de un ataque de exploración de puertos? (Elija tres.)

para identificar configuraciones periféricas
para determinar posibles vulnerabilidades
para deshabilitar puertos y servicios usados
para identificar los sistemas operativos
para identificar servicios activos
para descubrir las contraseñas del sistema

_117. ¿Qué es una diferencia?diferencia entre los modelos de red cliente-servidor y peer-to-peer?

Solo en el modelo cliente-servidor pueden ocurrir transferencias de archivos.
Una transferencia de datos que utiliza un dispositivo que actúa en una función de cliente requiere la presencia de un servidor dedicado.
Una red punto a punto transfiere datos más rápido que una transferencia mediante una red cliente-servidor.
Cada dispositivo en una red peer-to-peer puede funcionar como cliente o servidor.

_119. ¿Qué enfoque puede ayudar a bloquear posibles métodos de entrega de malware, como se describe en el modelo Cyber Kill Chain, en un servidor web con acceso a Internet?

Cree detecciones para el comportamiento de malware conocido.
Recopilar archivos de malware y metadatos para análisis futuros.
Auditoría del servidor web para determinar de manera forense el origen del exploit.
Analice la ruta de almacenamiento de la infraestructura utilizada para los archivos.

_Explique: Un actor de amenazas puede enviar el arma a través de interfaces web al servidor de destino, ya sea en cargas de archivos o solicitudes web codificadas. Al analizar la ruta de almacenamiento de la infraestructura utilizada para los archivos, se pueden implementar medidas de seguridad para monitorear y detectar las entregas de malware a través de estos métodos.

_120. ¿Qué elemento de metafunción en el modelo Diamond clasifica el tipo general de evento de intrusión?

fase
resultados
metodología
dirección

_Explique: Metodología: se utiliza para clasificar el tipo general de evento, como exploración de puertos, phishing, ataque de entrega de contenido, inundación de sincronización, etc.

_121. ¿Qué comando de Linux se usa para administrar procesos?

kit de chroot
ls
grep
matar

_Explique: El comando matar se usa para detener, reiniciar o pausar un proceso. El comando chrootkit se usa para verificar si hay rootkits en la computadora, un conjunto de herramientas de software que pueden aumentar el nivel de privilegios de un usuario o otorgar acceso a partes del software que normalmente no están permitidas. El comando grep se usa para buscar un archivo o texto dentro de un archivo. El comando ls se usa para listar archivos, directorios e información de archivos.

_122. ¿Qué herramienta se puede usar en un sistema Cisco AVC para analizar y presentar los datos de análisis de la aplicación en informes del tablero?

Flujo de red
NBAR2
Principal
IPFIX

_Explique: Se puede usar un sistema de administración y generación de informes, como Cisco Prime, para analizar y presentar los datos de análisis de la aplicación en informes del tablero para que los use el personal de monitoreo de la red.

_123. ¿Qué registro del Visor de eventos de Windows incluye eventos relacionados con el funcionamiento de los controladores, los procesos y el hardware?

registros del sistema
registros de aplicaciones
registros de seguridad
registros de configuración

_Explique: De manera predeterminada, Windows mantiene cuatro tipos de registros de host:

_Registros de aplicaciones: eventos registrados por varias aplicaciones
_Registros del sistema: eventos sobre el funcionamiento de controladores, procesos y hardware
_Registros de configuración: información sobre la instalación de software, incluidas las actualizaciones de Windows
_Registros de seguridad: eventos relacionados con la seguridad, como intentos de inicio de sesión y operaciones relacionadas con la administración y el acceso a archivos u objetos