Módulos 26 – 28: Examen del Grupo, Análisis de Datos de Seguridad Respuestas

09/03/2022 CyberOps Associate v1.0 Leave a comment

Última actualización: abril 4, 2022

CyberOps Associate (Versión 1.0) – Módulos 26 – 28: Examen del Grupo, Análisis de Datos de Seguridad Respuestas Español

1. Consulte la ilustración. Un analista especializado en seguridad revisa un mensaje de alerta generado por Snort. ¿Qué indica el número 2100498 en el mensaje?

  • El número de sesión del mensaje
  • El ID del usuario que activa la alerta
  • La longitud del mensaje en bits
  • La regla de Snort activada
Explique: El campo sid en un mensaje de alerta de Snort indica la regla de seguridad de Snort que se activa.

2. ¿En qué se basan generalmente los registros de eventos de seguridad cuando se obtienen del firewall tradicional?

  • Análisis de la aplicación
  • Tupla de 5 elementos
  • Filtrado estático
  • Firmas
Explique: Los firewalls tradicionales generalmente proporcionan registros de eventos de seguridad basados en tuplas de 5 elementos: dirección IP y número de puerto de origen, dirección IP y número de puerto de destino, y protocolo en uso.

3. ¿Qué indica un ID de firma de Snort inferior a 3464?

  • El SID fue creado por Sourcefire y distribuido de conformidad con un acuerdo de licencia GPL.
  • Se trata de una firma personalizada desarrollada por la organización para abordar las reglas observadas localmente.
  • El SID fue creado por la comunidad de Snort y se mantiene en las reglas de la comunidad.
  • El SID fue creado por los miembros de Emerging Threats.
Explique: Snort es un sistema de prevención de intrusiones en la red (NIPS) de código abierto y sistema de detección de intrusiones en la red (NIDS) desarrollado por Sourcefire. Tiene la capacidad de realizar análisis de tráfico en tiempo real y registro de paquetes en las redes de protocolo de Internet (IP) y puede usarse para detectar sondeos o ataques.

4. Consultar la ilustración. ¿Qué campo en la ventana de la aplicación Sguil indica la prioridad de un evento o de una conjunto de eventos correlacionados?

  • Pr
  • AlertID
  • ST
  • CNT
Explique: La ventana de la aplicación Sguil tiene varios campos disponibles que brindan información sobre un evento. En el campo ST, se indica el estado de un evento y se incluye una prioridad codificada por colores (de amarillo claro a rojo) para señalar cuatro niveles de prioridad.

5. Haga coincidir el origen de la regla Snort (Snort rule source) con su respectiva descripción.

Respuestas:

6. Después de que una herramienta de monitoreo de seguridad identifica un adjunto con malware en la red, ¿qué beneficio aporta la realización de un análisis retrospectivo?

  • Un análisis retrospectivo puede ser de ayuda para realizar un seguimiento del comportamiento del malware a partir del punto de identificación.
  • Puede identificar cómo el malware ingresó originalmente en la red.
  • Puede calcular la probabilidad de un incidente en el futuro.
  • Puede determinar qué host de red resultó afectado en primer lugar.
Explique: Con el monitoreo de la seguridad general se puede identificar cuándo un adjunto con malware entra en una red y qué host resulta afectado en primer lugar. El análisis retrospectivo da el siguiente paso y realiza el seguimiento del comportamiento del malware a partir de ese punto.

7. El actor de una amenaza quebrantó satisfactoriamente el firewall de la red sin ser detectado por el sistema IDS. ¿Qué condición describe la falta de alerta?

  • Falso positivo
  • Falso negativo
  • Positivo verdadero
  • Negativo verdadero
Explique: Un resultado falso negativo se produce cuando no se genera ninguna alerta y los sistemas de seguridad implementados no detectan ataques.

8. Un administrador de red está intentando descargar un archivo válido de un servidor interno. Sin embargo, el proceso activa una alerta en una herramienta NMS. ¿Qué condición describe correctamente la alerta?

  • Negativo verdadero
  • Falso positivo
  • Falso negativo
  • Positivo verdadero
Explique: Las alertas pueden clasificarse de la siguiente manera:
  • Positivo verdadero: se ha comprobado que la alerta es un incidente real de seguridad.
  • Falso positivo: la alerta no indica que el incidente de seguridad haya sido real. La actividad benigna que resulta en un falso positivo a veces se conoce como un desencadenante benigno.
  • Una situación alterna es aquella en la que no se generó una alerta. La ausencia de una alerta puede clasificarse del siguiente modo:
  • Negativo verdadero: no se han producido incidentes de seguridad. La actividad es benigna.
  • Falso negativo: se ha producido un incidente no detectado.

9. ¿Cuál de las siguientes herramientas es un sistema de detección de intrusiones basado en host integrado en Security Onion?

  • OSSEC
  • Snort
  • ELK
  • Sguil
Explique: OSSEC es un sistema de detección de intrusiones basado en host (HIDS) que se integra en Security Onion y monitorea activamente el funcionamiento del sistema del host.

10. ¿Cuál es el propósito de la reducción de datos en relación con NSM?

  • Acelerar la transmisión de datos de alerta
  • Eliminar flujos de datos recurrentes
  • Mejorar la transmisión segura de datos de alerta
  • Disminuir la cantidad de datos de NSM a ser manejados
Explique: La cantidad de tráfico de red que recopila la captura de paquetes y la cantidad de entradas del archivo de registro y alertas que generan los dispositivos de red y de seguridad puede ser excesiva. Por este motivo, es importante identificar los datos de red que deben ser recopilados. Este proceso se denomina reducción de datos.

11. ¿Qué tipo de evento debe asignarse a categorías en Sguil?

  • Falso positivo
  • Positivo verdadero
  • Falso negativo
  • Negativo verdadero
Explique: Sguil incluye siete categorías predefinidas que se pueden asignar a los eventos identificados como verdaderos positivos.

12. ¿Cual sistema HIDS está integrado en Security Onion y utiliza reglas para detectar cambios en los parámetros operativos basados en hosts (host-based operating parameters) causados por malware a través de llamadas al sistema?

  • Snort
  • Suricata
  • Bro
  • OSSEC
Explique: OSSEC es un sistema HIDS integrado dentro de Security Onion y mediante las reglas detecta los cambios en parámetros basados en hosts, como la ejecución de procesos de software, los cambios en los privilegios de usuarios y las modificaciones del registro (registry modification), entre otros. Las reglas OSSEC activarán eventos que se produjeron en el host, incluidos indicadores de que el malware pudo haber interactuado con el kernel del Sistema Operativo. Bro, Snort y Suricata son ejemplos de sistemas NIDS.

13. ¿Qué uso se le da al valor de hash de archivos en las investigaciones de seguridad de la red?

  • Ayuda a identificar las firmas de malware.
  • Se utiliza como una clave para el cifrado.
  • Se usa para decodificar archivos.
  • Comprueba la confidencialidad de los archivos.
Explique: En Sguil, si un analista especializado en ciberseguridad sospecha de un archivo, el valor de hash puede enviarse a un sitio de repositorio de malware en línea, como VirusTotal, para determinar si el archivo es un malware conocido.

14. ¿Cuál tecnología es un estándar principal que consiste en un patrón de símbolos que describen los datos que deben coincidir en una consulta?

  • POSIX
  • OSSEC
  • Squert
  • Sguil
Explique: Una expresión regular (regex) es un patrón de símbolos que describen datos que deben coincidir en una consulta o en cualquier otra operación. Las expresiones regulares se construyen en forma similar a las aritméticas, utilizando diversos operadores para combinar expresiones más pequeñas. Hay dos estándares principales de expresiones regulares: POSIX y Perl.

15. ¿Qué herramienta incluida en Security Onion proporciona una interfaz visual para los datos de NSM?

  • Curator
  • Squert
  • Beats
  • OSSEC
Explique: Los tableros ofrecen una combinación de datos y visualizaciones diseñada para mejorar el acceso de las personas a grandes cantidades de información. Kibana incluye la capacidad de diseñar tableros personalizados. Además, otras herramientas que se incluyen en Security Onion, como Squert, proporcionan una interfaz visual de los datos de NSM.

16. ¿Qué herramienta incluida en Security Onion incluye la capacidad de diseñar tableros personalizados?

  • Kibana
  • Sguil
  • Squert
  • OSSEC
Explique: Los tableros ofrecen una combinación de datos y visualizaciones diseñadas para mejorar el acceso de las personas a grandes cantidades de información. Kibana incluye la capacidad de diseñar tableros personalizados.

17. Según el NIST, ¿qué paso en el proceso de análisis forense digital consiste en llegar a conclusiones a partir de los datos?

  • Elaboración de informes
  • Análisis
  • Recopilación
  • Examen
Explique: NIST describe el proceso de informática forense digital como uno compuesto por los siguientes cuatro pasos:
  • Recopilación : la identificación de posibles fuente de datos forenses y la obtención, el manejo y el almacenamiento de esos datos.
  • Examen : evaluar y extraer información relevante de los datos recopilados. Esto puede implicar la descompresión o el descifrado de los datos.
  • Análisis : sacar conclusiones a partir de los datos. Se deben documentar las características salientes; por ejemplo: personas, lugares, horas y eventos, entre otras.
  • Elaboración de informes : preparar y presentar la información resultante del análisis. La elaboración de informes debe ser imparcial y se deben ofrecer explicaciones alternativas si corresponde.

18. ¿Qué dos fuentes compartidas de información se incluyen en el marco MITRE ATT&CK? (Escoja dos opciones).

  • Tácticas, técnicas, y procedimientos de atacante
  • Recopilación de evidencias de la más volátil a la menos volátil
  • Mapear los pasos de un ataque a una matriz de tácticas generalizadas
  • Evidencia de testigos oculares de alguien que observó directamente un comportamiento delictivo
  • Detalles sobre el manejo de la evidencia, incluidos momentos, lugares y personal involucrado.
Explique: MITRE Framework utiliza información almacenada sobre tácticas, técnicas y procedimientos (TTP) como parte de la defensa contra amenazas y la atribución de ataques. Esto se hace mapeando los pasos de un ataque a una matriz de tácticas generalizadas y describiendo las técnicas que se utilizan en cada táctica. Estas fuentes de información crean modelos que ayudan a atribuir una amenaza.

19. ¿Por qué los actores de amenazas preferirían usar un ataque de día cero en la fase de armamentización de la cadena de eliminación cibernética?

  • Para lanzar un ataque DoS hacia el objetivo
  • Para lograr un lanzamiento más rápido del ataque contra el objetivo
  • Para evitar ser detectado por el objetivo
  • Para obtener un paquete de malware gratis
Explique: Cuando el actor de una amenaza prepara un arma para un ataque, elige una herramienta automatizada (componente para diseñar el arma) para que se puede implementar a través de vulnerabilidades descubiertas. El malware que aplicará los ataques deseados se integra en la herramienta como la carga útil. El arma (herramienta más carga útil de malware) se aplicará al sistema de destino. Mediante el uso de un componente para diseñar el arma de día cero, el actor de la amenaza espera que el arma no sea detectada, ya que los profesionales de seguridad no la conocen y todavía no se han desarrollado métodos de detección.

20. Cuando se ocupa de amenazas de seguridad y utiliza el modelo de cadena de eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para bloquear la posible creación de una puerta trasera? (Elija dos opciones).

  • Usar HIPS para alertar sobre rutas de instalación comunes o bloquearlas.
  • Establecer una cuaderno de estrategias para la respuesta ante los incidentes.
  • Evaluar daños.
  • Auditar terminales para detectar archivos creados de manera anómala.
  • Consolidar la cantidad de puntos de presencia en Internet.
Explique: En la fase de instalación de la Cadena de eliminación cibernética, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo. Entre otras medidas, usar HIPS para alertar sobre rutas de instalación comunes o bloquearlas, así como auditar terminales para detectar archivos creados de manera anómala pueden ayudar a bloquear la posible creación de una puerta trasera.

21. Una el evento de intrusión definido en el modelo de diamante de la intrusión con la descripción correspondiente.

Respuestas:

22. ¿Qué metacaracterística en el modelo de diamante describe la información obtenida por el adversario?

  • Dirección
  • Resultados
  • Recursos
  • Metodología
Explique: Los metacaracterística «resultados» se utiliza para describir lo que el adversario obtuvo del evento de intrusión.

23. ¿Qué se define en el SOP de una funcionalidad de respuesta ante los incidentes de seguridad informática (CSIRC)?

  • Los procedimientos que se llevan a cabo durante una respuesta ante los incidentes
  • Las métricas para medir las funcionalidades de respuesta ante los incidentes
  • La guía para aumentar las funcionalidades de respuesta ante los incidentes
  • Los detalles sobre cómo manejar un incidente
Explique: Una CSIRC incluirá los procedimientos operativos estándar (SOP) que se llevan a cabo durante una respuesta ante los incidentes. Los procedimientos incluyen realizar procesos técnicos, llenar formularios y seguir listas de verificación.

24. ¿Qué información recopila el CSIRT al determinar el alcance de un incidente de seguridad?

  • Las redes, los sistemas y las aplicaciones afectadas por un incidente
  • La cantidad de tiempo y los recursos necesarios para manejar un incidente
  • Las estrategias y los procedimientos utilizados para la contención del incidente
  • Los procesos utilizados para proteger las pruebas
Explique: Después de que ocurre un incidente, el CSIRT determina el alcance que implica establecer qué redes, sistemas o aplicaciones fueron afectados, quién o qué originó el incidente, y cómo ocurre el incidente.

25. ¿En qué paso del proceso de respuesta ante los incidentes de NIST el CSIRT realiza un análisis para determinar qué redes, sistemas o aplicaciones se ven afectados, quién o qué originó el incidente, y cómo ocurre el incidente?

  • Detección
  • Identificación del atacante
  • Alcance
  • Notificación de incidentes
Explique: En la fase de detección y análisis del ciclo de vida del proceso de respuesta ante los incidentes de NIST, el CSIRT debe realizar inmediatamente un análisis inicial para determinar el alcance del incidente, que incluye qué redes, sistemas o aplicaciones se ven afectados, quién o qué originó el incidente, y cómo ocurre el incidente.

26. ¿Cómo interactúa un programa de aplicación con el sistema operativo?

  • Enviando archivos
  • Haciendo llamadas a la API
  • Accediendo a BIOS o UEFI
  • Usando procesos
Explique: Los programas de aplicación interactúan con un sistema operativo a través de llamadas del sistema a la interfaz de programación de la aplicación (API) del sistema operativo. Estas llamadas del sistema permiten acceder a muchos aspectos de la operación del sistema, como control de procesos de software, administración de archivos, administración de dispositivos y acceso a la red.

27. ¿Cuál es el objetivo de la normalización de los datos?

  • Simplificar la búsqueda de eventos correlacionados
  • Mejorar la transmisión segura de datos de alerta
  • Acelerar la transmisión de datos de alerta
  • Reducir la cantidad de datos de alerta
Explique: Con la normalización de los datos, varias fuentes de datos se combinan en un formato común de visualización, que simplifica la búsqueda de eventos relevantes o similares.

28. ¿En qué fase del ciclo de vida de respuesta ante los incidentes de NIST se recopila evidencia que puede ser de ayuda en las investigaciones posteriores realizadas por las autoridades?

  • Actividades posteriores al incidente
  • Preparación
  • Detección y análisis
  • Contención, erradicación y recuperación
Explique: NIST define cuatro fases en el ciclo de vida del proceso de respuesta ante los incidentes. En la fase de contención, erradicación y recuperación se recopila evidencia para resolver un incidente y colaborar con investigaciones posteriores.

29. ¿Cuál es el objetivo del actor de una amenaza al establecer un canal de comunicación bidireccional entre el sistema objetivo y una infraestructura de CnC?

  • Robar ancho de banda de la red donde se encuentra el objetivo
  • Lanzar un ataque de desbordamiento del búfer
  • Permitir que al actor de la amenaza emita comandos al software que se instala en el objetivo
  • Enviar datos del usuario almacenados en el objetivo del actor de la amenaza
Explique: En la fase de mando y control de la cadena de eliminación cibernética, el actor de la amenaza establece comando y control (CnC) con el sistema objetivo. Con el canal de comunicación bidireccional, el actor de la amenaza puede emitir comandos al software de malware instalado en el objetivo.

30. De acuerdo con los estándares de NIST, ¿qué parte interesada en la respuesta ante los incidentes es responsable de coordinar una respuesta con otras partes interesadas para minimizar el daño de un incidente?

  • Recursos Humanos
  • Soporte de TI
  • Departamento de Asuntos legales
  • Gerencia
Explique: El equipo gerencial crea las políticas, diseña el presupuesto y tiene a su cargo la dotación de personal de todos los departamentos. La gerencia también es responsable de coordinar la respuesta antes los incidentes con otras partes interesadas y de minimizar el daño causado por un incidente.

31. Un analista especializado en ciberseguridad debe acudir a la escena de un crimen que involucra varios elementos de tecnología, incluso una computadora. ¿Qué técnica se utilizará para que la información encontrada en la computadora pueda utilizarse ante el juez?

  • Recopilación de archivos de registro
  • Imagen de disco sin modificaciones
  • Tor
  • Rootkit
Explique: Una copia de archivo normal no recupera todos los datos de un dispositivo de almacenamiento, por lo que habitualmente se realiza una imagen de disco sin modificaciones. Una imagen de disco sin modificaciones conserva la evidencia original y evita, de esta manera, la modificación inadvertida durante la fase de detección. También permite la reconstrucción de la evidencia original.

32. El actor de una amenaza recopila información de los servidores web de una organización y busca información de contacto de los empleados. La información recopilada se utiliza para buscar información personal en Internet. ¿A qué fase de ataque pertenecen estas actividades según el modelo de cadena de eliminación cibernética?

  • Aprovechamiento
  • Acción en objetivos
  • Armamentización
  • Reconocimiento
Explique: Según el modelo de cadena de eliminación cibernética, en la fase de reconocimiento, el actor de la amenaza realiza una investigación, recopila inteligencia y selecciona objetivos.

33. ¿A qué miembro del personal de un SOC se le asigna la tarea de verificar si una alerta activada por un software de monitoreo representa un incidente de seguridad real?

  • Personal, nivel 1
  • Personal, nivel 3
  • Personal, nivel 2
  • Gerente de SOC
Explique: En un SOC, el trabajo de un analista especializado en alertas de nivel 1 incluye el monitoreo de alertas entrantes y la verificación de que se ha producido un incidente de seguridad real.

34. ¿Cuál clasificación indica que una alerta es verificada como un incidente de seguridad real?

  • Negativo verdadero
  • Falso negativo
  • Falso positivo
  • Positivo verdadero
Explique: Las alertas pueden clasificarse de la siguiente manera:
  • Positivo verdadero: se ha comprobado que la alerta es un incidente real de seguridad.
  • Falso positivo: la alerta no indica que el incidente de seguridad haya sido real. La actividad benigna que resulta en un falso positivo a veces se conoce como un desencadenante benigno.

Una situación alterna es aquella en la que no se generó una alerta. La ausencia de una alerta puede clasificarse del siguiente modo:

  • Negativo verdadero: no se han producido incidentes de seguridad. La actividad es benigna.
  • Falso negativo: se ha producido un incidente no detectado.

35. Un analista especializado en ciberseguridad comprobará las alertas de seguridad con Security Onion. ¿Qué herramienta debe utilizar primero el analista?

  • Bro
  • CapME
  • ELK
  • Sguil
Explique: El deber primordial de un analista especializado en ciberseguridad es verificar las alertas de seguridad. En Security Onion, la herramienta que utilizará primero un analista especializado en ciberseguridad es Sguil, puesto que proporciona una consola de alto nivel para investigar las alertas de seguridad de una gran variedad de fuentes.

36. ¿Qué término se utiliza para describir el proceso de conversión de entradas de registros en un formato común?

  • Estandarización
  • Normalización
  • Clasificación
  • Sistematización
Explique: Para el procesamiento de entradas de registros, la normalización de datos puede organizar y convertir los valores de conjuntos de datos de fuentes diferentes en un formato común. La normalización facilita profundizar el análisis de datos y la presentación de informes.

37. ¿Qué información está almacenada (o contenida) en la sección de opciones de una regla Snort?

  • Dirección de origen y destino (source and destination address)
  • Texto que describe el evento (text describing the event)
  • Dirección del flujo de tráfico (direction of traffic flow)
  • Acción que se va a realizar (action to be taken)
Explique: Las reglas Snort consisten de dos secciones, el encabezado de la regla y las opciones de la regla (the rules header and the rule options.) La sección de opciones de regla (rule options) en una regla de snort consiste en el texto de los mensajes que se muestra para describir una alerta, así como los metadatos sobre la alerta.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax