Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Evaluación de habilidades
Introducción
Cuando están trabajando como analistas especializados en seguridad en ACME Inc., detectan cierta
cantidad de eventos en la consola de SGUIL. Su tarea es analizar estos eventos, obtener más información y
determinar si son indicadores de actividad maliciosa.
Podrán acceder a Google para buscar más información sobre los eventos. Security Onion es la única VM con
acceso a Internet en el entorno virtual de Cybersecurity Operations.
Las tareas que se detallan a continuación están diseñadas para ofrecer ciertas pautas de orientación para
todo el proceso de análisis.
Se practicarán y evaluarán las siguientes habilidades:
o Evaluar eventos de Snort/SGUIL.
o Utilizar SGUIL como punto base para iniciar ELSA, Bro y Wireshark y profundizar la inspección de los
eventos.
o Utilizar las búsquedas de Google como herramienta para obtener información sobre un ataque
potencial.
El contenido de esta evaluación se extrajo de http://www.malware-traffic-analysis.net/ y se utiliza con el
.debido permiso. Agradecemos la posibilidad de utilizar este material
© Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
Evaluación de habilidades CCNA Cybersecurity Operations v1.0
e. Según SGUIL, ¿cuándo comenzó el ataque? ¿Cuándo terminó? ¿Cuánto duró aproximadamente?
Comenzó a las 15:31:12hs y finalizó a las 15:31:34hs, es decir que duró 24 segundos.
____________________________________________________________________________________
____________________________________________________________________________________
f. ¿Cuál es la dirección IP de la computadora interna involucrada en los eventos?
La direccion IP de origen es 192.168.0.12__________________________________________________
© Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
Evaluación de habilidades CCNA Cybersecurity Operations v1.0
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
d. ¿Este ataque se corresponde con la definición de un kit de ataque? Indiquen ejemplos de los eventos
que ven en SGUIL.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
e. ¿Cuáles son las principales etapas de los kits de ataque?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
g. ¿Cuál es el tipo de archivo más común relacionado con ese software vulnerable?
____________________________________________________________________________________
© Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
Evaluación de habilidades CCNA Cybersecurity Operations v1.0
h. Utilicen ELSA para reunir más evidencia que respalde la hipótesis de que el host que identificaron antes
aplicó el malware. Abran ELSA y generen una lista de todos los hosts que descargaron el tipo de archivo
antes mencionado. Recuerden ajustar el período según corresponda.
¿Pudieron encontrar más evidencias? Si es así, anoten lo que encontraron aquí.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
i. En este momento deberían saber, con cierto nivel de certeza, si el sitio que se incluye en la Parte 3b y
en la Parte 3c aplicó el malware. Anoten sus conclusiones a continuación.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
© Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 4