Examen Final de práctica CA 1.0 Tipo 1

¿Cómo puede utilizarse un sistema de administración de información y eventos de seguridad (SIEM) en un SOC para que ayude al personal a luchar contra las amenazas de seguridad?. Mediante la combinación de datos de múltiples tecnologías. Mediante el análisis de datos de registro en tiempo real. Mediante la integración de todos los dispositivos de seguridad y las aplicaciones en una organización. Mediante la aplicación dinámica de reglas de firewall.

¿Qué afirmación describe el estado de las cuentas de administrador y de invitado después de que un usuario instala la versión de escritorio de Windows en una computadora nueva?. De forma predeterminada, están deshabilitadas las cuentas de administrador y de invitado. De forma predeterminada, están habilitadas las cuentas de administrador y de invitado. De forma predeterminada, la cuenta de invitado está habilitada, pero la cuenta de administrador está deshabilitada. De forma predeterminada, la cuenta de administrador está habilitada, pero la cuenta de invitado está deshabilitada.

¿Cuál es el propósito de introducir el comando nslookup cisco.com en una computadora con Windows?. Comprobar si el servicio DNS se está ejecutando. Descubrir el tiempo de transmisión necesario para llegar al servidor Cisco. Probar si el servidor Cisco es accesible. Conectarse al servidor Cisco.

¿Cuales dos acciones se pueden realizar al configurar Windows Firewall? (Escoja dos opciones.). Permitir que otro software de Firewall controle el acceso. Abrir manualmente los puertos que son necesarios para aplicaciones específicas. Realizar una reversión (rollback). Activar la detección de puertos. Habilitar la autenticación de direcciones MAC.

Observe la salida arrojada por el comando y responda: ¿qué permiso o permisos de archivo han sido asignados al grupo de usuarios «otro» para el archivo data.txt? ls –l data.txt -rwxrw-r-- sales staff 1028 May 28 15:50 data.txt. Lectura. Acceso completo. Lectura, escritura. Lectura, escritura, ejecución.

¿Cuáles son tres ventajas de usar enlaces simbólicos en lugar de enlaces rígidos en Linux? (Elija tres opciones.). Pueden mostrar la ubicación del archivo original. Pueden establecer el enlace a un directorio. Pueden establecer el enlace a un archivo en un sistema de archivos diferente. Pueden cifrarse. Los enlaces simbólicos se pueden exportar. Pueden comprimirse.

¿En qué capa OSI se agrega una dirección IP de origen a una PDU durante el proceso de encapsulación?. Capa de red. Capa de enlace de datos. Capa de aplicación. Capa de transporte.

¿Qué dos protocolos están asociados con la capa de transporte? (Elija dos opciones.). TCP. UDP. ICMP. PPP. IP.

¿Qué es Internet?. Proporciona conexiones a través de las redes globales interconectadas. Es una red basada en la tecnología Ethernet. Es una red privada para una organización con conexiones LAN y WAN. Proporciona acceso a la red a los dispositivos móviles.

Cuando un protocolo sin conexión está en uso en una capa inferior del modelo OSI, ¿cómo se detectan y se retransmiten, si es necesario, los datos faltantes?. Los protocolos de capa superior orientados a la conexión hacen un seguimiento de los datos recibidos y pueden solicitar la retransmisión desde los protocolos de capa superior del host emisor. El proceso de distribución de servicio mínimo garantiza que todos los paquetes se envíen y se reciban. Se utilizan acuses de recibo sin conexión para solicitar la retransmisión. Los protocolos IP de la capa de red administran las sesiones de comunicación si no están disponibles los servicios de transporte orientados a la conexión.

Si el gateway predeterminado se configura de forma incorrecta en el host, ¿qué consecuencias tiene esto en las comunicaciones?. El host puede comunicarse con otros hosts en la red local, pero no puede comunicarse con hosts en redes remotas. El host no puede comunicarse en la red local. No tiene consecuencias en las comunicaciones. El host puede comunicarse con otros hosts en redes remotas, pero no puede comunicarse con los hosts en la red local.

¿Cuál de las siguientes es la notación de duración de prefijo para la máscara de subred 255.255.255.224?. /27. /26. /28. /25.

¿Cuáles son dos mensajes ICMPv6 que no están presentes en ICMP para IPv4? (Escoja dos opciones.). Anuncio de router. Solicitud de vecino. Redirección de ruta. Confirmación de host. Destino inalcanzable. Tiempo excedido.

¿Qué protocolo utiliza el comando traceroute para enviar y recibir solicitudes y respuestas de eco?. ICMP. Telnet. TCP. SNMP.

¿Cuáles dos tipos de mensajes son utilizados en lugar de ARP para la resolución de direcciones IPV6? (Escoja dos opciones.). Solicitud de vecino. Anuncio de vecino. Difusión por proximidad. Difusión. Echo reply. Solicitud Echo.

¿Cuáles son dos problemas que pueden ser causados por un gran número de mensajes de solicitud y respuesta ARP? (Escoja dos opciones.). Todos los mensajes de solicitud ARP deben ser procesados por todos los nodos de la red local. La solicitud ARP se envía como un broadcast e inundará toda la subred. La red puede sobrecargarse porque los mensajes de respuesta ARP tienen una carga útil muy grande debido a la dirección MAC de 48 bits y la dirección IP de 32 bits que contienen. La solicitud ARP se envía como un broadcast e inundará toda la subred. Un gran número de mensajes de solicitud y respuesta ARP puede ralentizar el proceso de switching, lo que lleva al switch a realizar muchos cambios en su tabla MAC.

¿Qué tipo de herramienta de monitoreo de red guarda tramas de red en archivos PCAP?. Wireshark. SNMP. SIEM. NetFlow.

¿Cuál es el mecanismo TCP que se utiliza para evitar la congestión?. Ventana deslizante. Protocolo de enlace de tres vías. Protocolo de enlace de dos vías. Par de sockets.

Consulte la ilustración. Un analista especializado en ciberseguridad está viendo paquetes capturados que se reenviaron al switch S1. ¿Qué dispositivo tiene la dirección MAC d8:cb:8a:5c:d5:8a?. PC-A. Servidor DNS. Router ISP. Router DG. Servidor web.

¿Cuál de las siguientes opciones corresponde a una característica de DNS?. Los servidores DNS pueden almacenar en caché las consultas recientes para reducir el tráfico de consultas DNS. Los servidores DNS están programados para eliminar solicitudes de traducciones de nombres que no están dentro de su zona. Todos los servidores DNS deben mantener asignaciones para toda la estructura DNS. DNS se basa en una topología hub-and-spoke con servidores centralizados.

¿Por qué se prefiere el uso de DHCP en redes grandes?. Es una forma más eficaz de administrar direcciones IP que la asignación de direcciones estáticas. Los hosts de las redes grandes necesitan más parámetros de configuración de asignación de direcciones IP que los hosts de las redes pequeñas. Las redes grandes envían más solicitudes de resolución de dominio a dirección IP que las redes pequeñas. DHCP usa un protocolo de capa de transporte confiable. Evita que se compartan archivos que tienen derechos de autor.

Un router ha recibido un paquete destinado a red que se encuentra en la tabla de routing. ¿Qué pasos realiza el router para enviar este paquete a su camino? Haga coincidir el paso con la tarea respectiva realizada por el router. Desencapsula el encabezado (header) y el pie de página (trailer) de la trama de Capa 2 para exponer el paquete de Capa 3. Examina la dirección IP de destino del paquete IP para encontrar la mejor ruta en la tabla de routing (enrutamiento). Encapsula el paquete de Capa 3 en una nueva trama de Capa 2 y reenvía la trama por la interfaz de salida.

¿Cuál es el propósito de CSMA/CA?. Evitar colisiones. Evitar bucles. Filtrar el tráfico. Aislar el tráfico.

¿Cuáles son dos características compartidas del IDS y del IPS? (Elija dos opciones.). Ambos se implementan como sensores. Ambos usan firmas para detectar tráfico malintencionado. Ambos dependen de un dispositivo de red adicional para responder al tráfico malicioso. Ambas tienen un impacto mínimo en el rendimiento de la red.​. Ambos analizan copias del tráfico de red.

¿Cuál enunciado describe una política de seguridad típica para una configuración de Firewall de zona desmilitarizada (Demilitarized zone DMZ)?. El tráfico que se origina desde la interfaz DMZ es selectivamente permitido a la interfaz externa. El tráfico de retorno desde el exterior asociado con el tráfico que se origina desde el interior tiene permitido atravesar desde la interfaz externa a la interfaz DMZ. El tráfico que se origina desde la interfaz interna generalmente se bloquea de forma total o de forma muy selectiva a la interfaz externa. El tráfico que se origina desde la interfaz externa tiene permitido atravesar el Firewall hasta la interfaz interna con pocas restricciones o ninguna. El tráfico de retorno desde el interior asociado con el tráfico que se origina desde el exterior tiene permitido atravesar desde la interfaz interna hasta la interfaz externa.

Una la técnica de prueba de seguridad de red con cómo se utiliza para probar la seguridad de red. No se utilizan todas las opciones. Análisis de red. Análisis de vulnerabilidad. Prueba de penetración.

En un intento de evitar ataques de red, los ciber-analistas comparten atributos identificables únicos de ataques conocidos con sus colegas. ¿Qué tres tipos de atributos o indicadores de compromiso son de ayuda para compartir? (Escoja tres opciones.). Características de archivos de malware. Direcciones IP de servidores de ataque. Cambios realizados en el software del sistema final. BIOS de sistemas atacantes. Nombres netbios de firewalls comprometidos. ID de sistemas comprometidos.

¿Qué dos afirmaciones describen los ataques de acceso? (Elija dos opciones.). Los ataques de contraseña se pueden implementar mediante métodos de ataque de fuerza bruta, caballos de Troya o analizadores de protocolos de paquetes. Los ataques de desbordamiento del búfer escriben una cantidad de datos que supera la capacidad de la memoria de búfer asignada con el fin de sobrescribir datos válidos o de explotar sistemas para ejecutar código malicioso. Los ataques de confianza suelen implicar el uso de una computadora portátil como punto de acceso dudoso para que capture y copie todo el tráfico de red en una ubicación pública, como un punto de acceso inalámbrico. Los ataques de redireccionamiento de puertos utilizan una tarjeta de adaptador de red en modo promiscuo para capturar todos los paquetes de red que se envían a través de una LAN. Para detectar servicios de escucha, los ataques de escaneo de puertos exploran un rango de números de puerto TCP o UDP en un host.

Tras recibir quejas de los usuarios, un técnico identifica que el servidor Web de la universidad funciona muy lentamente. Al revisar el servidor, descubre una cantidad inusualmente elevada de solicitudes de TCP provenientes de varias ubicaciones en Internet. ¿Cuál es el origen del problema?. Hay un ataque de DDoS en curso. El servidor está infectado con un virus. El ancho de banda no es suficiente para conectarse al servidor. Hay un ataque de reproducción en curso.

¿Qué herramienta de monitoreo de red pertenece a la categoría de analizadores de protocolo de red?. Wireshark. SPAN. SNMP. SIEM.

¿Qué dos herramientas de monitoreo capturan el tráfico de red y lo reenvían a dispositivos de monitoreo de la red? (Elija dos opciones.). SPAN. Punto de acceso de prueba de la red. SNMP. SIEM. Wireshark.

¿Qué tipo de mensaje ICMP pueden utilizar los atacantes para realizar ataques de reconocimiento y escaneo de redes?. ICMP unreachable. ICMP mask reply. ICMP redirects. ICMP router discovery.

Una enorme cantidad de paquetes con direcciones IP de origen no válidas solicitan una conexión en la red. El servidor intenta responder de manera afanosa, lo que da como resultado que se ignoran las solicitudes válidas. ¿Qué tipo de ataque se produjo?. Saturación SYN de TCP (TCP SYN flood). Restablecimiento TCP (TCP reset). Secuestro de sesiones TCP (TCP session hijacking). Saturación de UDP (UDP flood).

Un atacante está redirigiendo el tráfico a una puerta de enlace predeterminada falsa en un intento de interceptar el tráfico de datos de una red conmutada. ¿Qué tipo de ataque es este?. Suplantación de identidad de DHCP. Envenenamiento del caché de ARP. Inundación SYN a TCP. Túnel de DNS.

¿Cuál es el objetivo más común del envenenamiento de la optimización para motor de búsqueda (SEO)?. Aumentar el tráfico web a sitios maliciosos. Engañar a una persona para que instale malware o divulgue información personal. Construir un botnet de zombies. Sobrecargar un dispositivo de red con paquetes maliciosos.

¿Qué sección de una política de seguridad se utiliza para especificar que solo las personas autorizadas deben tener acceso a datos empresariales?. Política de identificación y autenticación. Política de acceso a Internet. Declaración de autoridad. Política de acceso al campus. Declaración del alcance. Política de uso aceptable.

Una el concepto de seguridad con la descripción. Vulnerabilidad. Riesgo. Ataque. Amenaza.

Un administrador de red está configurando un servidor AAA para administrar la autenticación TACACS+. ¿Cuáles son dos atributos de la autenticación TACACS+? (Escoja dos opciones.). Procesos separados de autenticación y autorización. Encriptación para todas las comunicaciones. Puerto UDP 1645. Encriptación sólo para la contraseña de un usuario. Puerto TCP 40. Un único proceso de autenticación y autorización.

Un especialista en seguridad de la red recibe la tarea de implementar una medida de seguridad que monitorea el estado de los archivos críticos en el centro de datos y envía una alerta inmediata si se modifica alguno de ellos. ¿Qué aspecto de las comunicaciones seguras aborda esta medida de seguridad?. Integridad de los datos. Confidencialidad de los datos. Autenticación de origen. Imposibilidad de negación.

¿Cuáles son los dos componentes importantes de una infraestructura de clave pública (PKI) utilizados en seguridad de la red? (Elija dos opciones.). Certificados digitales. Autoridad de certificación. Generación de claves precompartidas. Algoritmos de cifrado simétrico. Sistema de prevención de intrusión.

¿Qué tres algoritmos están diseñados para generar y comprobar firmas digitales? (Elija tres opciones.). RSA. DSA. ECDSA. IKE. 3DES. AES.

Una la descripción con el enfoque antimalware. se analizan actividades sospechosas. Se reconocen características generales compartidas por diversos tipos de malware. Se reconocen diversas características de archivos de malware conocidos.

¿Qué afirmación describe el enfoque para la detección de intrusiones basada en anomalías?. Compara el comportamiento de un host con una línea de base establecida para identificar posibles intrusiones. Compara las firmas del tráfico entrante con una base de datos de intrusiones conocidas. Compara las operaciones de una host con una política de seguridad bien definida. Compara el archivo de definición antivirus con un repositorio basado en la nube para determinar las actualizaciones más recientes.

Un administrador de red está creando un perfil de red para generar una línea de base de red. ¿Qué está incluido en el elemento de espacio para recursos críticos?. Las direcciones IP o la ubicación lógica de los sistemas o datos esenciales. El tiempo transcurrido desde que se establece el flujo de datos y su finalización. La lista de procesos de TCP o UDP que están disponibles para aceptar datos. Los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor.

¿Cuáles son las tres métricas de impacto incluidas en el Grupo de métricas base de CVSS 3.0? (Elija tres opciones.). Disponibilidad. Integridad. Confidencialidad. Nivel de corrección. Vector de ataque. Ataque.

¿De qué manera HTTPS dificulta el monitoreo de la seguridad de la red?. HTTPS agrega complejidad a los paquetes capturados. HTTPS no puede proteger a los visitantes de un sitio web proporcionado por la compañía. HTTPS puede utilizarse para infiltrar consultas de DNS. El tráfico del navegador web se dirige a servidores infectados.

¿Cómo podrían los profesionales de TI corporativos hacer frente a las amenazas cibernéticas basadas en DNS?. Supervisar los registros de servidor proxy DNS y buscar consultas DNS poco comunes. Usar dispositivos IPS/IDS para analizar el tráfico corporativo interno. Limitar la cantidad de navegadores o de pestañas del navegador abiertos al mismo tiempo. Limitar la cantidad de consultas DNS permitidas dentro de la organización.

¿Qué dos elementos forman el valor PRI en un mensaje de syslog? (Elija dos opciones.). Recurso. Gravedad. Encabezado. Marca de hora. Nombre del host.

¿Cuáles tres piezas de información se encuentran en los datos de sesión (session data)? (Escoja tres opciones.). Direcciones IP de origen y de destino. Número de puertos de origen y destino. Protocolo de transporte de Capa 4. Dirección IP de la puerta de enlace por defecto (default gateway). Direcciones MAC de origen y de destino. Nombre de usuario.

Consultar la ilustración. ¿Qué campo en la ventana de la aplicación Sguil indica la prioridad de un evento o de una conjunto de eventos correlacionados?. ST. Pr. CNT. AlertID.

¿Qué indica una clasificación de alerta de seguridad «negativo verdadero»?. El tráfico normal se ignora correctamente y no se se emiten alertas erróneas. Se corrobora que una alerta es un incidente de seguridad real. Los sistemas de seguridad implementados no detectan ataques. Una alerta se emite incorrectamente y no indica un incidente de seguridad real.

¿Cómo se asigna el ID de evento en Sguil?. A cada evento de la serie de eventos correlacionados se le asigna un ID (identificador) único. A todos los eventos de la serie de eventos correlacionados se les asigna el mismo ID de grupo de eventos. Sólo al primer evento se le asigna un ID único de la serie de eventos correlacionados. A todos los eventos de la serie de eventos correlacionados se les asigna el mismo ID de evento.

¿Cuales dos tipos de tráfico de red provienen de protocolos que generan mucho tráfico rutinario? (Elija dos opciones.). Tráfico de actualizaciones de routing (enrutamiento). Tráfico STP. Tráfico de alertas de auditoría de seguridad de Windows (Windows security auditing). Tráfico IPsec. Tráfico SSL.

¿Cuál es el objetivo de un ataque en la fase de instalación de la cadena de eliminación cibernética?. Crear una puerta trasera al sistema objetivo para poder acceder a él en el futuro. Quebrar la vulnerabilidad y obtener el control del objetivo. Establecer el comando y control (CnC) con el sistema objetivo. Utilizar la información de la fase de reconocimiento para desarrollar un arma contra el objetivo.

¿Qué fase del ciclo de vida de la respuesta ante los incidentes de NIST incluye el monitoreo continuo por parte del CSIRT para identificar y validar un incidente con rapidez?. Detección y análisis. Preparación. Contención, erradicación y recuperación. Actividades posteriores al incidente.

¿Cuál es la responsabilidad del departamento de Recursos Humanos al ocuparse de un incidente de seguridad?. Adoptar medidas disciplinarias si un incidente es causado por un empleado. Tomar medidas para minimizar la efectividad del ataque y preservar la evidencia. Revisar las políticas, los planes y los procedimientos relacionados con incidentes para infracciones a pautas locales o federales. Coordinar la respuesta antes los incidentes con otras partes interesadas y minimizar el daño causado por el incidente.

¿Qué dos tipos de información personal pueden ser vendidos en la web oscura por los ciberdelincuentes? (Escoja dos opciones.). Dirección. Fotos de Facebook. Ciudad de residencia. Nombre de un banco. Nombre de una mascota.

Los usuarios informan que no se puede tener acceso a un archivo de la base de datos del servidor principal. El administrador de una base de datos verifica el problema y advierte que el archivo de base de datos ahora está cifrado. La organización recibe un correo electrónico de amenaza en el que se exige un pago a cambio de descifrar el archivo de base de datos. ¿Qué tipo de ataque ha experimentado la organización?. Ransomware. Caballo de Troya. Ataque DoS. Ataque man-in-the-middle.