Saltar al contenido

Examen Final de Cybersecurity Operations Versión 1.1

respuestas examen final ccna cyber ops

¡Domina la ciberseguridad con el Examen Final de Cybersecurity Operations Versión 1.1! Descubre las preguntas y respuestas detalladas que te llevarán al éxito en este desafío. Prepárate para conquistar el mundo de la seguridad informática y obtener la codiciada certificación CCNA. Ya seas un principiante o un experto, este artículo te brinda los recursos necesarios para superar el examen con confianza. No te pierdas esta oportunidad de convertirte en un profesional de la ciberseguridad. ¡Sumérgete en el conocimiento y alcanza nuevas alturas en tu carrera!

Preguntas y respuestas

1. ¿Qué indica una clasificación de alerta de seguridad «negativo verdadero»?

  • Los sistemas de seguridad implementados no detectan ataques.
  • El tráfico normal se ignora correctamente y no se se emiten alertas erróneas.
  • Se corrobora que una alerta es un incidente de seguridad real.
  • Una alerta se emite incorrectamente y no indica un incidente de seguridad real.

Explicación: Una clasificación de alerta de seguridad «negativo verdadero» significa que el sistema de seguridad está funcionando correctamente al ignorar el tráfico normal y no generar alertas falsas. Esto implica que el sistema es capaz de diferenciar entre actividades normales y potenciales ataques, emitiendo alertas solo cuando se detecta una amenaza real.

2. ¿Qué dos funciones son realizados por lo general un router inalámbrico que se utiliza en el hogar o de una Pequeña empresa? (Elija dos).

  • punto de acceso
  • switch Ethernet
  • servidor de autenticación RADIUS
  • repetidor
  • controlador de WLAN

Explicación: Un router inalámbrico utilizado en el hogar o una pequeña empresa generalmente realiza las funciones de punto de acceso y switch Ethernet. Actúa como un punto de acceso inalámbrico para permitir conexiones de dispositivos a través de Wi-Fi y también como un switch Ethernet para facilitar las conexiones por cable entre dispositivos en la red.

3. ¿Qué comando de Linux podría usarse para descubrir el ID de proceso (PID) de un proceso específico antes de usar el comando kill ?

  • grep
  • chkrootkit
  • ps
  • ls

Explicación: El comando «ps» en Linux se utiliza para mostrar información sobre los procesos en ejecución en el sistema. Al ejecutar «ps» con opciones específicas, como «ps -ef» o «ps aux», se puede obtener una lista de todos los procesos en el sistema junto con su ID de proceso (PID). Esto permite identificar el PID de un proceso específico antes de usar el comando «kill» para finalizar ese proceso.

4. Un técnico nota que una aplicación no responde a los comandos y que la PC parece responder con lentitud cuando se abren aplicaciones. ¿Cuál es la mejor herramienta administrativa para forzar la liberación de recursos del sistema por parte de la aplicación que no responde?

  • Agregar o quitar programas
  • Administrador de tareas
  • Restaurar sistema
  • Visor de eventos

Explicación: El Administrador de tareas es la mejor herramienta administrativa para forzar la liberación de recursos del sistema por parte de una aplicación que no responde. Permite ver todos los procesos en ejecución en el sistema, identificar la aplicación problemática y finalizar su proceso de forma segura. También brinda información sobre el uso de recursos del sistema, lo que ayuda a identificar posibles cuellos de botella o problemas de rendimiento.

5. ¿Por qué un administrador de red elegiría Linux como sistema operativo en el Centro de Operaciones de Seguridad (Security Operations Center, SOC)?

  • Es más fácil de usar que otros sistemas operativos de servidor.
  • Se crean más aplicaciones de red para este entorno.
  • El administrador tiene control de las funciones específicas de seguridad, pero no de las aplicaciones estándar.
  • Puede adquirirse sin costo alguno.

Explicación: Un administrador de red podría elegir Linux como sistema operativo en un Centro de Operaciones de Seguridad (SOC) debido a que puede adquirirse sin costo alguno. Linux es un sistema operativo de código abierto, lo que significa que se puede utilizar, modificar y distribuir de forma gratuita. Esto puede ser atractivo para organizaciones que desean reducir costos y tener control total sobre su infraestructura de seguridad.

6. ¿Cuáles de las siguientes son dos ventajas del sistema de archivos NTFS en comparación con FAT32? (Elija dos opciones).

  • El sistema NTFS permite un formateado más veloz de las unidades.
  • El sistema NTFS admite particiones más grandes.
  • El sistema NTFS proporciona más características de seguridad.
  • El sistema NTFS es más fácil de configurar.
  • El sistema NTFS permite detectar sectores defectuosos automáticamente.
  • El sistema NTFS permite un acceso más rápido a los periféricos externos, como las unidades USB.

Explicación: El sistema de archivos NTFS tiene varias ventajas sobre FAT32. Dos de estas ventajas son:

El sistema NTFS admite particiones más grandes: NTFS permite crear particiones de mayor tamaño en comparación con FAT32, lo que es especialmente útil cuando se trabaja con unidades de almacenamiento de gran capacidad.

El sistema NTFS proporciona más características de seguridad: NTFS ofrece características de seguridad más avanzadas, como permisos de archivos y carpetas, cifrado de archivos y registro de eventos. Esto permite un mayor control y protección de los datos almacenados en el sistema de archivos.

7. ¿Qué protocolo traduce un nombre de sitio web como www.cisco.com a una dirección de red?

  • DHCP
  • FTP
  • DNS
  • HTTP

Explicación: El protocolo que traduce un nombre de sitio web como www.cisco.com a una dirección de red es el DNS (Domain Name System). El DNS es un sistema de nomenclatura jerárquica que asigna nombres de dominio legibles por humanos a direcciones IP numéricas utilizadas por las computadoras para comunicarse en redes.

8. ¿Qué tipo de amenaza de seguridad sería responsable si un complemento de la hoja de cálculo deshabilita el firewall de software local?

  • Desbordamiento del búfer
  • Caballo de Troya
  • Ataque de fuerza bruta
  • DOS

Explicación: Si un complemento de hoja de cálculo deshabilita el firewall de software local, se consideraría una amenaza de seguridad conocida como «Caballo de Troya». Un Caballo de Troya es un software malicioso que se disfraza como una aplicación legítima pero contiene funcionalidades ocultas y maliciosas. En este caso, el complemento de la hoja de cálculo engañaría al usuario para que lo instale, pero en realidad desactivaría el firewall de software local, dejando el sistema vulnerable a posibles ataques externos.

9. Una compañía implementa una política de seguridad que garantiza que un archivo enviado desde la oficina de la sede central y dirigido a la oficina de la sucursal pueda abrirse solo con un código predeterminado. Este código se cambia todos los días. Indiquen dos algoritmos que se pueden utilizar para realizar esta tarea. (Elija dos opciones).

  • AES
  • U HMAC
  • SHA-1
  • 3DES
  • MD5

Explicación: Para garantizar que un archivo enviado desde la sede central a la sucursal solo pueda abrirse con un código predeterminado que cambia todos los días, se pueden utilizar diferentes algoritmos de cifrado. Dos opciones comunes son AES (Advanced Encryption Standard) y 3DES (Triple Data Encryption Standard). Estos algoritmos son ampliamente utilizados en la industria de la seguridad de la información y ofrecen un alto nivel de protección de los datos mediante el cifrado. El archivo se cifraría con una clave basada en el código predeterminado diario utilizando uno de estos algoritmos, y solo aquellos que posean la clave correcta podrán descifrar y acceder al archivo.

10. ¿Qué afirmación describe el enfoque para la detección de intrusiones basada en políticas?

  • Compara los comportamientos de un host con una línea de base establecida para identificar posibles intrusiones.
  • Compara las operaciones de un host con las reglas de seguridad bien definidas.
  • Compara las firmas del tráfico entrante con una base de datos de intrusiones conocidas.
  • Compara las definiciones de antimalware con un repositorio central para determinar las actualizaciones más recientes.

Explicación: El enfoque para la detección de intrusiones basada en políticas compara las operaciones de un host con las reglas de seguridad bien definidas. Consiste en establecer políticas de seguridad que especifican qué acciones o comportamientos son considerados como intrusos o amenazas y luego comparar las operaciones del host con esas reglas para identificar posibles intrusiones. Si se detecta una discrepancia entre el comportamiento observado y las reglas establecidas, se genera una alerta o se toman medidas para mitigar la amenaza.

11. Debido a los controles de seguridad implementados, un usuario puede acceder a un servidor solo con FTP. ¿Qué componente de AAA logra esto?

  • Autenticación
  • Autorización
  • Accesibilidad
  • Registro
  • Auditoría

Explicación: El componente de AAA (Autenticación, Autorización y Auditoría) que logra que un usuario pueda acceder a un servidor solo con FTP debido a los controles de seguridad implementados es la Autorización. La autorización se encarga de verificar si un usuario tiene los permisos y derechos necesarios para acceder a un recurso o realizar determinadas acciones. En este caso, los controles de seguridad han limitado el acceso al servidor solo a través del protocolo FTP, lo que significa que el usuario está autorizado para acceder utilizando ese protocolo, pero no otros métodos de acceso.

12. ¿Cuáles son las dos características que describen un gusano? (Elija dos opciones).

  • Infecta las PC al unirse a los códigos de software.
  • Se autoduplica.
  • Se ejecuta cuando se ejecuta un software en una PC.
  • Se desplaza a nuevas PC sin la intervención o el conocimiento del usuario.
  • Se oculta en estado latente hasta que un atacante lo requiere.

Explicación: Un gusano es un tipo de malware que tiene la capacidad de propagarse a través de redes de computadoras sin requerir la intervención o el conocimiento del usuario. Dos características que describen un gusano son:

  1. Se autoduplica: Un gusano tiene la capacidad de replicarse a sí mismo una vez que infecta un sistema. Puede aprovechar las vulnerabilidades de seguridad de un sistema para crear copias de sí mismo y propagarse a otros dispositivos o redes.
  2. Se desplaza a nuevas PC sin la intervención o el conocimiento del usuario: Un gusano puede moverse y propagarse de manera autónoma a través de redes de computadoras, infectando nuevos sistemas sin que el usuario sea consciente de ello. No requiere la acción del usuario para su propagación, a diferencia de otros tipos de malware que pueden depender de la interacción del usuario, como hacer clic en un enlace malicioso o descargar un archivo infectado.

13. Señale las tres categorías principales de elementos en un centro de operaciones de seguridad? (Elija tres opciones).

  • Motor de base de datos
  • Personas
  • Centro de datos
  • Conexión a Internet
  • Procesos
  • Tecnologías

Explicación: En un centro de operaciones de seguridad (SOC, por sus siglas en inglés), se encuentran tres categorías principales de elementos:

  1. Personas: Las personas son esenciales para el funcionamiento de un SOC. Esto incluye a los analistas de seguridad, ingenieros, directores y otros profesionales que supervisan y operan el SOC. Su experiencia y conocimientos son fundamentales para detectar, analizar y responder a las amenazas de seguridad.
  2. Tecnologías: Los centros de operaciones de seguridad utilizan una variedad de tecnologías para monitorear y proteger los sistemas y redes. Esto puede incluir herramientas de detección de intrusiones, sistemas de gestión de registros, soluciones de análisis de seguridad, firewalls, entre otros. Estas tecnologías ayudan a recopilar datos, analizar eventos de seguridad y tomar medidas para proteger la infraestructura.
  3. Procesos: Los procesos son los procedimientos y flujos de trabajo establecidos en un SOC para gestionar las actividades de seguridad. Estos procesos incluyen la detección y respuesta a incidentes, la gestión de alertas, la elaboración de informes, la coordinación con otras áreas de la organización, entre otros. Los procesos aseguran una gestión eficiente de las operaciones de seguridad y facilitan una respuesta efectiva ante incidentes.

14. ¿Cuál es la diferencia entre los algoritmos de cifrado simétrico y asimétrico?

  • Por lo general, los algoritmos simétricos son cientos o miles de veces más lentos que los algoritmos asimétricos.
  • Los algoritmos de cifrado simétrico utilizan claves precompartidas. En los algoritmos de cifrado asimétrico se utilizan claves diferentes para cifrar y descifrar datos.
  • Los algoritmos de cifrado simétricos se utilizan para autenticar las comunicaciones seguras. Los algoritmos de cifrado asimétrico se utilizan para negar mensajes.
  • Los algoritmos de cifrado simétrico se utilizan para cifrar los datos. Los algoritmos de cifrado asimétrico se utilizan para descifrar los datos.

Explicación:

Los algoritmos de cifrado simétrico y asimétrico son dos enfoques diferentes utilizados en la criptografía. La diferencia clave entre ellos radica en cómo se manejan las claves de cifrado.

En el cifrado simétrico, se utiliza una sola clave para cifrar y descifrar los datos. Esta clave se conoce como clave simétrica o precompartida, ya que debe ser compartida de antemano entre el emisor y el receptor. Ambas partes utilizan la misma clave para cifrar y descifrar los datos. Esto hace que los algoritmos de cifrado simétrico sean más rápidos y eficientes en comparación con los algoritmos asimétricos. Ejemplos de algoritmos de cifrado simétrico incluyen AES (Advanced Encryption Standard) y 3DES (Triple Data Encryption Standard).

En contraste, los algoritmos de cifrado asimétrico utilizan dos claves diferentes pero relacionadas matemáticamente: una clave pública y una clave privada. La clave pública se utiliza para cifrar los datos, mientras que la clave privada se utiliza para descifrarlos. La clave pública se comparte ampliamente, mientras que la clave privada se mantiene en secreto. Esto proporciona una mayor seguridad y permite funciones adicionales, como la firma digital y el intercambio seguro de claves. Ejemplos de algoritmos de cifrado asimétrico incluyen RSA (Rivest-Shamir-Adleman) y ECC (Elliptic Curve Cryptography).

15. ¿Qué tipo de dato se consideraría un ejemplo de dato volátil?

  • Archivos de registro
  • Caché del navegador web
  • Registros de la memoria
  • Archivos temporales

Explicación:

Los datos volátiles son aquellos que se almacenan temporalmente en la memoria de un dispositivo y se pierden cuando se apaga o reinicia el sistema. Estos datos no se guardan en un almacenamiento persistente, como el disco duro, y suelen estar relacionados con el funcionamiento en tiempo real del sistema. Un ejemplo de dato volátil son los registros de la memoria, que contienen información sobre el estado actual de la ejecución de programas, variables temporales y otros datos temporales almacenados en la memoria RAM. Estos registros son cruciales para el funcionamiento del sistema en un momento dado, pero se borran cuando se reinicia o se apaga la computadora.

16. ¿Cuáles de las siguientes son tres responsabilidades de la capa de transporte? (Elija tres opciones.)

  • Dirigir paquetes hacia la red de destino.
  • Identificar las aplicaciones y los servicios que deben manejar los datos transmitidos en el servidor y el cliente.
  • Realizar una detección de errores del contenido de las tramas.
  • Cumplir con los requisitos de confiabilidad de las aplicaciones, si corresponde.
  • Realizar la multiplexación de varias transmisiones de comunicación desde muchos usuarios o aplicaciones en la misma red.
  • Dar a los datos un formato compatible para que los reciban los dispositivos de destino.

Explicación:

La capa de transporte es una de las capas del modelo de referencia OSI y tiene varias responsabilidades en la transmisión de datos. Algunas de las responsabilidades de la capa de transporte incluyen:

  1. Identificar las aplicaciones y los servicios que deben manejar los datos transmitidos en el servidor y el cliente: La capa de transporte utiliza puertos de origen y destino para identificar las aplicaciones o servicios a los que se deben enviar los datos. Esto permite que los datos se entreguen correctamente a la aplicación o servicio correcto en el destino.
  2. Realizar una detección de errores del contenido de las tramas: La capa de transporte puede verificar la integridad de los datos transmitidos mediante la detección de errores. Esto se logra mediante el uso de técnicas de detección y corrección de errores, como los códigos de detección de errores o el reenvío de paquetes perdidos.
  3. Cumplir con los requisitos de confiabilidad de las aplicaciones, si corresponde: Algunas aplicaciones requieren una entrega confiable de los datos, lo que significa que los datos deben ser entregados sin errores y en el orden correcto. La capa de transporte puede proporcionar mecanismos de control de flujo y retransmisión para garantizar la confiabilidad de la transmisión de datos cuando es necesario.

17. ¿Cómo podría el actor de una amenaza utilizar DNS para crear caos?

  • Interceptar y descifrar el tráfico de red.
  • Recopilar información personal y codificar los datos en las consultas DNS salientes.
  • Cambiar la marca de hora en los mensajes de red con el fin de ocultar el ataque cibernético.
  • Vigilar o denegar el servicio de forma externa a la red corporativa.

Explicación:

El sistema de nombres de dominio (DNS) se utiliza para traducir nombres de dominio legibles por humanos en direcciones IP numéricas que las computadoras utilizan para comunicarse entre sí. Un actor de amenazas puede utilizar el DNS de varias formas para crear caos, pero una de las formas comunes es vigilar o denegar el servicio de forma externa a la red corporativa.

Esto se puede lograr al dirigir ataques de denegación de servicio (DoS) o de denegación de servicio distribuido (DDoS) a los servidores DNS que son responsables de traducir los nombres de dominio. Al inundar los servidores DNS con una gran cantidad de solicitudes maliciosas o tráfico falso, el actor de la amenaza puede hacer que los servidores se vean abrumados y no puedan responder a las solicitudes legítimas. Como resultado, los usuarios legítimos no podrán acceder a los sitios web o servicios asociados a esos nombres de dominio, lo que genera caos y afecta negativamente la disponibilidad de los servicios en línea.

18. Consulte la ilustración. Un administrador de red está mirando una salida arrojada por el recopilador Netflow. ¿Qué se puede determinar a partir de la salida con respecto al flujo de tráfico que se muestra?

netflow collector
  • Esta es una respuesta DNS de TCP a una máquina cliente.
  • Esta es una respuesta DNS de UDP a una máquina cliente.
  • Esta es una solicitud DNS de UDP a un servidor DNS.
  • Esta es una solicitud DNS de TCP a un servidor DNS.

19. ¿Qué método se puede utilizar para fortalecer un dispositivo?

  • Permitir que los servicios predeterminados permanezcan habilitados
  • Permitir la detección automática de USB
  • Utilizar SSH y deshabilitar el acceso a cuentas raíz a través de SSH
  • Mantener el uso de las mismas contraseñas

Explicación:

Para fortalecer un dispositivo, es importante implementar medidas de seguridad adecuadas. Una de las formas de fortalecer un dispositivo es utilizar SSH (Secure Shell) y deshabilitar el acceso a cuentas raíz a través de SSH.

SSH es un protocolo de red que proporciona una forma segura de acceder y administrar un dispositivo de forma remota. Al utilizar SSH en lugar de protocolos menos seguros, como Telnet, se cifra la comunicación entre el dispositivo y el usuario remoto, lo que ayuda a proteger la confidencialidad de los datos transmitidos.

Deshabilitar el acceso a cuentas raíz a través de SSH implica no permitir el inicio de sesión directo como usuario «root» o administrador a través de SSH. En su lugar, se deben utilizar cuentas de usuario no privilegiadas para iniciar sesión y luego elevar los privilegios según sea necesario. Esto ayuda a reducir el riesgo de ataques de fuerza bruta o compromiso directo de la cuenta raíz, ya que los atacantes tendrían que adivinar tanto el nombre de usuario como la contraseña.

20. ¿Qué dos afirmaciones hacen referencia a características de un virus? (Elija dos opciones).

  • El virus proporciona datos confidenciales al atacante, como contraseñas.
  • Un virus puede estar inactivo y luego activarse en un momento o en una fecha en particular.
  • Por lo general, un virus requiere la activación del usuario final.
  • Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación y una carga útil.
  • Un virus se autorreplica atacando de manera independiente las vulnerabilidades en las redes.

Explicación:

Un virus es un tipo de malware que se propaga al adjuntarse a otros archivos o programas y se ejecuta cuando el archivo o programa infectado se activa. Algunas características de un virus incluyen:

  • Un virus puede estar inactivo y luego activarse en un momento o en una fecha en particular: Los virus pueden tener una programación específica para activarse en un momento determinado, lo que les permite permanecer inactivos en el sistema hasta que se cumplan ciertas condiciones, como una fecha o una acción específica del usuario.
  • Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación y una carga útil: Para infectar sistemas, un virus explota una vulnerabilidad específica en el software o sistema operativo. Una vez que se ha aprovechado la vulnerabilidad, el virus utiliza un mecanismo de propagación, como adjuntarse a archivos, para infectar otros sistemas. Además, el virus lleva consigo una carga útil, que puede ser una acción maliciosa específica, como eliminar archivos, robar información o dañar el sistema infectado.

21. En comparación con los hacktivistas o los hackers patrocinados por el estado, ¿qué motiva comúnmente a los ciberdelincuentes para atacar las redes?

  • Razones políticas
  • Beneficio financiero
  • Búsqueda de fama
  • Reconocimiento entre pares

Explicación:

Aunque las motivaciones pueden variar, lo que comúnmente motiva a los ciberdelincuentes para atacar las redes es el beneficio financiero. Los ciberdelincuentes suelen buscar oportunidades para obtener ganancias económicas a través de actividades ilegales en línea.

Estas actividades pueden incluir el robo de información personal o financiera, el secuestro de datos y la extorsión de las víctimas mediante el rescate de datos (ransomware), el fraude con tarjetas de crédito o el robo de identidad. Para los ciberdelincuentes, el aspecto financiero es a menudo la principal motivación detrás de sus acciones, ya que buscan obtener beneficios económicos de sus actividades delictivas en línea.

22. Una la fase de ciclo de vida de respuesta ante los incidentes de NIST con la acción.

nist 1
nist2

23. Una el componente de seguridad informática con la descripción.

componente seguridad informática 1
componente seguridad informática 2

24. ¿Cuál de las siguientes es una función de SNMP?

  • Sincroniza el tiempo en todos los dispositivos en la red
  • Proporciona análisis estadístico sobre los paquetes que pasan por un router o switch de multicapa de Cisco
  • Brinda un formato de mensaje para la comunicación entre los agentes y los administradores de dispositivos de red
  • Captura paquetes que entran y salen de la tarjeta de interfaz de red

Explicación:

SNMP (Simple Network Management Protocol) es un protocolo utilizado para la gestión y supervisión de dispositivos de red. Una de las funciones principales de SNMP es proporcionar un formato de mensaje estándar para la comunicación entre los agentes (dispositivos de red) y los administradores de red.

Mediante el uso de SNMP, los administradores de red pueden recopilar información y realizar operaciones de gestión en los dispositivos de red, como routers, switches y servidores. Los agentes SNMP recopilan datos y los informan a los administradores a través de mensajes SNMP, que siguen un formato predefinido y están basados en el modelo de información de administración de SNMP (MIB).

25. ¿Qué dos comandos net están asociados con el uso compartido de recursos de red? (Elija dos opciones).

  • net share
  • net stop
  • net use
  • net start
  • net accounts

Explicación:

Los comandos «net share» y «net use» están asociados con el uso compartido de recursos de red en entornos Windows.

  • «net share»: Este comando permite al usuario ver y administrar los recursos compartidos en un sistema Windows. Puede mostrar una lista de los recursos compartidos existentes, crear nuevos recursos compartidos y configurar permisos de acceso para los usuarios y grupos.
  • «net use»: Este comando permite a un usuario conectarse a recursos compartidos en una red. Permite asignar una letra de unidad a un recurso compartido de red para que pueda accederse a él como si fuera una unidad local. También permite administrar conexiones a recursos compartidos, como establecer o romper una conexión.

26. ¿Por qué el algoritmo Diffie-Hellman suele evitarse para el cifrado de datos?

  • DH requiere una clave compartida que el emisor y el receptor intercambian con facilidad.
  • DH se ejecuta demasiado rápido para ser implementado con un alto nivel de seguridad.
  • DH maneja grandes cantidades y esto hace que sea demasiado lento para las transferencias masivas de datos.
  • Se utilizan algoritmos asimétricos para cifrar la mayor parte del tráfico de datos.

27. El actor de una amenaza obtuvo acceso administrativo a un sistema y logró controlar el sistema para lanzar un futuro ataque DDoS mediante el establecimiento de un canal de comunicación con un CnC propiedad del actor de la amenaza. ¿Qué fase de modelo de cadena de eliminación cibernética describe la situación?

  • Aprovechamiento
  • Aplicación
  • Acción en objetivos
  • comando y control

28. ¿Qué registro del Visor de eventos de Windows incluye eventos relativos al funcionamiento de los controladores, los procesos y el hardware?

  • Archivos de registro de aplicaciones
  • Archivos de registro del sistema
  • Archivos de registro de seguridad
  • Archivos de registro de configuración

Explicación:

Los eventos relativos al funcionamiento de los controladores, los procesos y el hardware se registran en los «Archivos de registro del sistema» en el Visor de eventos de Windows.

El Visor de eventos de Windows es una herramienta de registro que registra diversos tipos de eventos y actividades que ocurren en un sistema operativo Windows. Los registros del sistema contienen información sobre el estado y el funcionamiento del sistema, incluidos los eventos relacionados con los controladores de dispositivo, los procesos en ejecución y los componentes de hardware.

Los registros del sistema pueden ser útiles para el diagnóstico y solución de problemas, ya que proporcionan información detallada sobre posibles errores, advertencias o eventos significativos que han ocurrido en el sistema.

29. Una la tecnología o el protocolo de red común con la descripción. (No se utilizan todas las opciones).

tecnología protocolo de red 1
tecnología protocolo de red 1
tecnología protocolo de red 2

30. Consulte la ilustración. Si el host A envía un paquete IP al host B, ¿cuál es la dirección de destino en la trama cuando deja el host A?

host a host b esquema
  • 172.168.10.65
  • DD:DD:DD:DD:DD:DD
  • AA:AA:AA:AA:AA:AA
  • CC:CC:CC:CC:CC:CC
  • 172.168.10.99
  • BB:BB:BB:BB:BB:BB

31. ¿Qué afirmación plasma una diferencia importante entre los protocolos TACACS+ y RADIUS?

  • El protocolo TACACS+ permite separar la autenticación de la autorización.
  • En comparación con el protocolo RADIUS, TACACS+ proporciona amplias capacidades de registro.
  • El protocolo RADIUS puede causar retrasos al establecer una nueva sesión TCP para cada solicitud de autorización.
  • El protocolo RADIUS cifra toda la transmisión del paquete.

32. ¿Cuáles, de las siguientes opciones, son dos ventajas de utilizar la base de datos de la comunidad de VERIS? (Elija dos opciones).

  • Conjuntos de datos compactos para su fácil descarga.
  • Los datos están en un formato que permite su manipulación.
  • La base de datos es patrocinada y respaldada por gobiernos.
  • La cuota de acceso es mínima.
  • Los datos son de acceso libre y gratuito al público.

33. ¿Cuál de los siguientes escenarios es probablemente el resultado de actividades realizadas por un grupo de hacktivistas?

  • No se puede acceder a los archivos de registro de ventas de los últimos años de una importante compañía y, de repente, aparece una oferta que invita a pagar un monto considerable par poder recuperar los datos.
  • La base de datos central de calificaciones de los estudiantes y algunas calificaciones son modificadas ilegalmente.
  • La principal red de suministro eléctrico de un país sufre ataques frecuentes de otro país.
  • Los correos electrónicos internos relacionados con el manejo de una catástrofe medioambiental de una compañía petrolera aparecen en múltiples sitios web.

34. Observe la salida arrojada por el comando y responda: ¿qué permiso o permisos de archivo han sido asignados al grupo de usuarios «otro» para el archivo data.txt?

ls -l data.txt
-rwxrw-r-- sales staff 1028 May 28 15:50 data.txt
  • Acceso completo
  • Lectura, escritura
  • Lectura
  • Lectura, escritura, ejecución

35. Según el NIST, ¿qué paso en el proceso de análisis forense digital consiste en preparar y presentar información obtenida mediante el análisis minucioso de los datos?

  • Análisis
  • Recopilación
  • Examen
  • Elaboración de informes

36. Consulte la ilustración. Un analista especializado en ciberseguridad está viendo paquetes capturados que se reenviaron al switch S1. ¿Qué dispositivo tiene la dirección MAC d8:cb:8a:5c:d5:8a?

frames dst src
  • Router DG
  • Servidor DNS
  • PC-A
  • Router ISP
  • Servidor web

37. Una el elemento de perfil de red con la descripción. (No se utilizan todas las opciones).

puertos utilizados tcp udp 1
puertos utilizados tcp udp 2
puertos utilizados tcp udp 3

38. ¿En qué situación se utiliza un algoritmo de clave asimétrico?

  • Dos routers Cisco se autentican mutuamente con CHAP.
  • Un administrador de red se conecta a un router Cisco con SSH.
  • Los datos del usuario se transmiten a través de la red después de que se establece una VPN.
  • Un gerente de oficina cifra archivos confidenciales antes de guardarlos en un dispositivo externo.

39. ¿Qué dos puntos garantizan las firmas digitales sobre código que se descarga de Internet? (Elija dos opciones).

  • El código es auténtico y realmente es provisto por el editor.
  • El código no contiene ningún virus.
  • El código no se ha modificado desde que salió del editor de software.
  • El código no contiene errores.
  • El código se cifró con una clave pública y una clave privada.

40. Una la clasificación de alertas con la descripción.

clasificación de alertas 1
clasificación de alertas 2

41. ¿Qué clase de métrica en el grupo de métricas base de CVSS identifica los impactos en la confidencialidad, la integridad y la disponibilidad?

  • Base modificada
  • Madurez del código del ataque
  • Fortaleza de un ataque
  • Impacto

42. Consulte la ilustración. Un especialista en seguridad de la red emite el comando tcpdump para capturar eventos. ¿Qué indica el número 6337?

tcpdump quiz
  • El puerto que está escuchando tcpdump
  • El ID de firma de Snort que tcpdump verá y capturará
  • La cantidad de transacciones capturadas en ese momento
  • El ID de proceso del comando tcpdump

43. ¿Por qué los actores de amenazas preferirían usar un ataque de día cero en la fase de armamentización de la cadena de eliminación cibernética?

  • Para obtener un paquete de malware gratis
  • Para lograr un lanzamiento más rápido del ataque contra el objetivo
  • Para evitar ser detectado por el objetivo
  • Para lanzar un ataque DoS hacia el objetivo

44. De acuerdo con SANS Institute, ¿qué superficie de ataque incluye el el uso de ingeniería social?

  • Superficie de ataque de Internet
  • Superficie de ataque a la red
  • Superficie de ataque humana
  • Superficie de ataque del software

45. ¿Qué tecnología podría aumentar la preocupación por la seguridad de la implementación de loT en un entorno empresarial?

  • Computación en la nube
  • Ancho de banda de red
  • Velocidad del procesamiento de CPU
  • Almacenamiento de datos

46. ¿Cómo utilizan los ciberdelincuentes un iFrame malicioso?

  • El iFrame permite que el navegador cargue una página web desde otra fuente.
  • El atacante vuelve a dirigir el tráfico a un servidor DNS incorrecto.
  • El atacante incrusta contenido malicioso en archivos pertinentes al negocio.
  • El iFrame permite el uso de múltiples subdominios DNS.

47. ¿Cuáles son las tres tecnologías que se deberían incluir en un sistema de administración de información y eventos de seguridad de un SOC? (Elija tres opciones).

  • Conexión VPN
  • Monitoreo de la seguridad
  • Seguimiento de vulnerabilidades
  • Inteligencia de amenazas
  • Dispositivo de firewall
  • Prevención de intrusiones

48. ¿Qué es un punto de acceso de prueba de la red?

  • Una característica admitida en switches de Cisco que permite que el switch copie tramas y las reenvie a un dispositivo de análisis
  • Un dispositivo pasivo que reenvia todo el tráfico y los errores de la capa física a un dispositivo de análisis
  • Una tecnología que ofrece informes en tiempo real y análisis de largo plazo sobre eventos de seguridad
  • Una tecnología de Cisco que proporciona estadísticas sobre los paquetes que pasan por un router o switch de multicapa

49. Señale los dos servicios que presta la herramienta NetFlow. (Elija dos opciones).

  • Configuración de la calidad de servicio
  • Análisis de registros
  • Factura de red basada en el uso
  • Monitoreo de redes
  • Monitoreo de lista de acceso

50. Un profesional de seguridad de la red presentó una solicitud para un puesto de nivel 2 en un SOC. ¿Qué función laboral habitual se le asignaría a un nuevo empleado?

  • Monitorear las alertas entrantes y verificar que se haya producido un incidente real
  • Desempeñarse como el punto de contacto de un cliente
  • Profundizar la investigación de incidentes de seguridad
  • Buscar amenazas de seguridad potenciales e implementar herramientas de detección de amenazas

51. Consulte la ilustración. ¿Qué configuración de lista de acceso en el router R1 evitará que el tráfico de la red LAN 192.168.2.0 LAN llegue a la red LAN restringida, pero permitirá el tráfico desde cualquier otra red LAN?

routers schema switches
  • R1(config-std-nacl)# deny 192.168.3.0
    R1(config-std-nacl)# permit any
    R1(config)# interface G0/2
    R1(config-if)# ip access-group BLOCK_LAN2 in
  • R1(config-std-nacl)# permit any
    R1(config-std-nacl)# deny 192.168.3.0
    R1(config)# interface G0/2
    R1(config-if)# ip access-group BLOCK-LAN2 in
  • R1(config-std-nacl)# permit any
    R1(config-std-nacl)# deny 192.168.2.0
    R1(config)# interface G0/2
    R1(config-if)# ip access-group BLOCK_LAN2 out
  • R1(config-std-nacl)# deny 192.168.2.0
    R1(config-std-nacl)# permit any
    R1(config)# interface G0/2
    R1(config-if)# ip access-group BLOCK_LAN2 out

52. ¿Qué dos afirmaciones describen los ataques de acceso? (Elija dos opciones).

  • Los ataques de desbordamiento del búfer escriben una cantidad de datos que supera la capacidad de la memoria de búfer asignada con el fin de sobrescribir datos válidos o de explotar sistemas para ejecutar código malicioso.
  • Los ataques de redireccionamiento de puertos utilizan una tarjeta de adaptador de red en modo promiscuo para capturar todos los paquetes de red que se envían a través de una LAN.
  • Para detectar servicios de escucha, los ataques de escaneo de puertos exploran un rango de números de puerto TCP o UDP en un host.
  • Los ataques de contraseña se pueden implementar mediante métodos de ataque de fuerza bruta, caballos de Troya o analizadores de protocolos de paquetes.
  • Los ataques de confianza suelen implicar el uso de una computadora portátil como punto de acceso dudoso para que capture y copie todo el tráfico de red en una ubicación pública, com punto de acceso inalámbrico.

53. ¿Qué dispositivo en un enfoque de defensa en profundidad con varias capas niega las conexiones iniciadas de redes no confiables a redes internas, pero permite a los usuarios internos de una organización conectarse a redes no confiables?

  • Router interno
  • IPS
  • Firewall
  • Switch de capa de acceso

54. ¿Cómo se utiliza una dirección IP de origen en una ACL estándar?

  • Es el criterio que se utiliza para filtrar el tráfico.
  • Es la dirección que utilizará un router para determinar cuál es la mejor ruta para reenviar paquetes.
  • Es la dirección desconocida, por lo que la ACL debe colocarse en la interfaz más cercana a la dirección de origen.
  • Se utiliza para determinar el gateway predeterminado del router que tiene la ACL aplicada.

55. Consulte la ilustración. Un administrador de red le muestra a un ingeniero de red júnior una salida en el servidor. ¿Qué servicio tendría que ser habilitado en el servidor para recibir dicha salida?

administrador de red servidor
  • AAA
  • depurar
  • SNMP
  • ICMP

56. ¿Cuál es la responsabilidad del departamento de Recursos Humanos al ocuparse de un incidente de seguridad?

  • Coordinar la respuesta antes los incidentes con otras partes interesadas y minimizar el daño causado por el incidente.
  • Tomar medidas para minimizar la efectividad del ataque y preservar la evidencia.
  • Adoptar medidas disciplinarias si un incidente es causado por un empleado.
  • Revisar las políticas, los planes y los procedimientos relacionados con incidentes para infracciones a pautas locales o federales.

57. ¿Cuál es el resultado de la utilización de dispositivos de seguridad que incluyen servicios de descifrado e inspección de HTTPS?

  • Los dispositivos requieren monitoreo y puesta a punto continuos.
  • Los dispositivos deben tener nombres de usuario y contraseñas preconfigurados para todos los usuarios.
  • Los dispositivos introducen demoras de procesamiento y cuestiones de privacidad.
  • Los contratos de servicio mensuales con sitios de filtrado web de buena reputación pueden ser costosos.

Explicación: El resultado de la utilización de dispositivos de seguridad que incluyen servicios de descifrado e inspección de HTTPS es que introducen demoras de procesamiento y cuestiones de privacidad.

Cuando los dispositivos de seguridad realizan la descodificación e inspección de HTTPS, se requiere un procesamiento adicional para examinar el contenido cifrado de las comunicaciones. Esto puede ocasionar cierta demora en el procesamiento de los datos, lo que puede afectar el rendimiento de la red.

Además, la inspección de HTTPS puede plantear preocupaciones de privacidad, ya que implica que los dispositivos de seguridad tengan acceso al contenido de las comunicaciones cifradas. Si bien esto se realiza con el objetivo de detectar y prevenir actividades maliciosas, también puede generar inquietudes sobre la privacidad y la confidencialidad de la información transmitida a través de HTTPS.

58. En una clase de networking, el instructor les indica a los alumnos que hagan un ping a las demás PC del aula desde el símbolo del sistema. ¿Por qué fallan todos los pings de la clase?

  • El Firewall de Windows bloquea el ping.
  • Las PC del aula tienen un virus.
  • Las PC se encuentran en redes distintas.
  • El puerto 25 está bloqueado y evita que se transmita la solicitud de eco.

Explicación: La razón por la que todos los pings de la clase fallan es porque el Firewall de Windows bloquea el ping.

El Firewall de Windows es una función de seguridad integrada en el sistema operativo Windows que controla el tráfico de red entrante y saliente. De manera predeterminada, el Firewall de Windows bloquea el tráfico de ping ICMP (Protocolo de Mensajes de Control de Internet) para proteger el sistema contra posibles ataques o intrusiones.

En el escenario dado, cuando los alumnos intentan hacer un ping a las demás PC del aula desde el símbolo del sistema, el Firewall de Windows en cada PC bloquea los paquetes de ping ICMP y, por lo tanto, los pings fallan. Para permitir los pings, es necesario modificar la configuración del Firewall de Windows para permitir el tráfico ICMP o desactivar temporalmente el Firewall.

59. ¿Cuáles son dos técnicas de evasión que utilizan los hackers? (Elija dos opciones).

  • Pivoting
  • Reconocimiento
  • Caballo de Troya
  • Suplantación de identidad
  • Rootkit

60. ¿Qué técnica es necesaria para garantizar una transferencia de datos privada mediante una VPN?

  • Escalabilidad
  • Cifrado
  • Autorización
  • Virtualización

Explicación: La técnica necesaria para garantizar una transferencia de datos privada mediante una VPN es el cifrado.

Una VPN (Red Privada Virtual) es una conexión segura que se establece sobre una red pública, como Internet, para proporcionar un canal seguro y encriptado para la transmisión de datos. El cifrado es la técnica esencial utilizada en una VPN para proteger la privacidad y la confidencialidad de los datos transmitidos.

Cuando los datos se envían a través de una VPN, se cifran mediante algoritmos criptográficos, lo que significa que se convierten en un formato ilegible para cualquier persona que no tenga la clave de cifrado correspondiente. Esto garantiza que incluso si los datos se interceptan o se accede a ellos de manera no autorizada, no puedan ser leídos ni utilizados sin la clave de cifrado adecuada.

El cifrado en una VPN asegura que la transferencia de datos sea privada y segura, lo que protege la información confidencial y previene el acceso no autorizado.