Está en la página 1de 47

CyberOps Associate (Versión 1.0) - CyberOps Associate 1.

0 Examen final
1. ¿Qué dos afirmaciones son características de un virus? (Escoge dos.)
 Un virus normalmente requiere la activación del usuario final.
 Un virus puede estar inactivo y luego activarse en una fecha o hora específicas.
 Un virus se replica mediante la explotación independiente de las vulnerabilidades de las
redes.
 Un virus tiene una vulnerabilidad habilitante, un mecanismo de propagación y una carga
útil.
 Un virus proporciona al atacante datos confidenciales, como contraseñas.
 
Explicación: El tipo de interacción del usuario final que se requiere para iniciar un virus
normalmente es abrir una aplicación, abrir una página web o encender la computadora. Una vez
activado, un virus puede infectar otros archivos ubicados en la computadora o en otras
computadoras de la misma red.
 
2. ¿Cuál es una característica de un caballo de Troya en lo que respecta a la seguridad de la
red?
 Demasiada información está destinada a un bloque de memoria en particular, lo que hace
que se vean afectadas áreas de memoria adicionales.
 Se envían cantidades extremas de datos a una interfaz de dispositivo de red en particular.
 Se utiliza un diccionario electrónico para obtener una contraseña que se utilizará para
infiltrarse en un dispositivo de red clave.
 El malware está contenido en un programa ejecutable aparentemente legítimo.
 
Explicación: un caballo de Troya lleva a cabo operaciones maliciosas bajo la apariencia de un
programa legítimo. Los ataques de denegación de servicio envían cantidades extremas de datos a
una interfaz de dispositivo de red o host en particular. Los ataques a contraseñas utilizan
diccionarios electrónicos en un intento de aprender las contraseñas. Los ataques de
desbordamiento de búfer explotan los búferes de memoria al enviar demasiada información a un
host para hacer que el sistema no funcione.
 
3. ¿Qué técnica se utiliza en los ataques de ingeniería social?
 enviando correo basura
 desbordamiento de búfer
 suplantación de identidad
 hombre en el medio
 
Explicación: Un actor de amenazas envía un correo electrónico fraudulento que se disfraza de una
fuente legítima y confiable para engañar al destinatario para que instale malware en su dispositivo
o comparta información personal o financiera.
 
4. ¿Cuál es el propósito de implementar VLAN en una red?
 Pueden separar el tráfico de usuarios.
 Previenen bucles de capa 2.
 Eliminan las colisiones de red.
 Permiten que los conmutadores reenvíen paquetes de Capa 3 sin un enrutador.
 
Explicación: Las VLAN se utilizan en una red para separar el tráfico de usuarios en función de
factores como la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación
física del usuario o dispositivo.
 
5. Consulte la exposición. Un analista de ciberseguridad está viendo los paquetes reenviados por
el switch S2. ¿Qué direcciones identificarán los marcos que contienen datos enviados desde PCA
a PCB?

Src IP: 192.168.2.1


Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB
Src IP: 192.168.1.212
Src MAC: 01-90-C0-E4-AA-AA
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB
Src IP: 192.168.1.212
Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 08-CB-8A-5C-BB-BB
Src IP: 192.168.1.212
Src MAC: 00-60-0F-B1-33-33
Dst IP: 192.168.2.101
Dst MAC: 00-D0-D3-BE-00-00
 
Explicación: Cuando un mensaje enviado desde PCA a PCB llega al enrutador R2, R2 reescribirá
algunos campos de encabezado de trama antes de reenviarlos al conmutador S2. Las tramas
contendrán la dirección MAC de origen del enrutador R2 y la dirección MAC de destino de la
PCB. Las tramas conservarán el direccionamiento IPv4 original aplicado por PCA, que es la
dirección IPv4 de PCA como dirección de origen y la dirección IPv4 de PCB como destino.
 
6. Un analista de ciberseguridad necesita recopilar datos de alerta. ¿Cuáles son las tres
herramientas de detección para realizar esta tarea en la arquitectura Security Onion? (Elige
tres.)
 CapME
 Wazuh
 Kibana
 Zeek
 Sguil
 Wireshark
 
7. Haga coincidir la herramienta Security Onion con la descripción.

 
8. En las evaluaciones de seguridad de la red, ¿qué tipo de prueba se utiliza para evaluar el
riesgo que representan las vulnerabilidades para una organización específica, incluida la
evaluación de la probabilidad de ataques y el impacto de exploits exitosos en la organización?
 escaneo de puertos
 análisis de riesgo
 pruebas de penetración
 evaluación de vulnerabilidad
 
9. Haga coincidir el elemento del perfil del servidor con la descripción. (No se utilizan todas las
opciones).

Explicación: Los elementos de un perfil de servidor incluyen lo siguiente: Puertos de escucha: los


demonios y puertos TCP y UDP que pueden abrirse en el servidor
Cuentas de usuario: los parámetros que definen el acceso y el comportamiento del usuario
Cuentas de servicio: las definiciones del tipo de servicio que una aplicación puede ejecutar en
un entorno de software host determinado
: las tareas, procesos y aplicaciones que pueden ejecutarse en el servidor
 
10. Al abordar un riesgo identificado, ¿qué estrategia tiene como objetivo trasladar parte del
riesgo a otras partes?
 evitación de riesgo
 riesgo compartido
 retención de riesgo
 la reducción de riesgos
 
11. ¿Qué es una toma de red?
 una tecnología utilizada para proporcionar informes en tiempo real y análisis a largo plazo
de eventos de seguridad
 una tecnología de Cisco que proporciona estadísticas sobre los paquetes que fluyen a
través de un enrutador o un conmutador multicapa
 una función compatible con los conmutadores Cisco que permite que el conmutador copie
tramas y las reenvíe a un dispositivo de análisis
 un dispositivo pasivo que reenvía todo el tráfico y los errores de la capa física a un
dispositivo de análisis
 
Explicación: Se utiliza una toma de red para capturar el tráfico para monitorear la red. El tap suele
ser un dispositivo de división pasivo implementado en línea en la red y reenvía todo el tráfico,
incluidos los errores de la capa física, a un dispositivo de análisis.
 
12. Haga coincidir la herramienta de seguimiento con la definición.

13. Si un SOC tiene un objetivo de 99,999% de tiempo de actividad, ¿cuántos minutos de tiempo
de inactividad al año se considerarían dentro de su objetivo?
 Aproximadamente 5 minutos al año.
 Aproximadamente 10 minutos al año
 Aproximadamente 20 minutos al año.
 Aproximadamente 30 minutos al año.
 
Explicación: Dentro de un año, hay 365 días x 24 horas al día x 60 minutos por hora = 525,600
minutos. Con el objetivo de un tiempo de actividad del 99,999% del tiempo, el tiempo de
inactividad debe controlarse por debajo de 525,600 x (1-0,99999) = 5,256 minutos al año.
14. El servidor HTTP ha respondido a una solicitud del cliente con un código de estado 200. ¿Qué
indica este código de estado?
 La solicitud es entendida por el servidor, pero el recurso no se cumplirá.
 La solicitud se completó con éxito.
 El servidor no pudo encontrar el recurso solicitado, posiblemente debido a una URL
incorrecta.
 La solicitud ha sido aceptada para su procesamiento, pero el procesamiento no se ha
completado.
 
15. ¿Cuál es la ventaja para las organizaciones pequeñas de adoptar IMAP en lugar de POP?
 POP solo permite al cliente almacenar mensajes de forma centralizada, mientras que IMAP
permite el almacenamiento distribuido.
 IMAP envía y recupera correo electrónico, pero POP solo recupera correo electrónico.
 Cuando el usuario se conecta a un servidor POP, las copias de los mensajes se guardan en
el servidor de correo durante un breve período de tiempo, pero IMAP las conserva durante
mucho tiempo.
 Los mensajes se guardan en los servidores de correo hasta que se eliminan manualmente
del cliente de correo electrónico.
 
Explicación: IMAP y POP son protocolos que se utilizan para recuperar mensajes de correo
electrónico. La ventaja de usar IMAP en lugar de POP es que cuando el usuario se conecta a un
servidor compatible con IMAP, se descargan copias de los mensajes en la aplicación cliente. A
continuación, IMAP almacena los mensajes de correo electrónico en el servidor hasta que el
usuario los elimina manualmente.
 
16. ¿Qué herramienta de seguridad de depuración pueden utilizar los sombreros negros para
aplicar ingeniería inversa a archivos binarios al escribir exploits?
 WinDbg
 Firesheep
 Skipfish
 AYUDANTE
 
17. Empareje las herramientas de ataque con la descripción. (No se utilizan todas las opciones).

 
18. ¿Cuáles son dos características de ARP? (Escoge dos.)
 Cuando un host encapsula un paquete en una trama, se refiere a la tabla de direcciones
MAC para determinar la asignación de direcciones IP a direcciones MAC.
 Si un host está listo para enviar un paquete a un dispositivo de destino local y tiene la
dirección IP pero no la dirección MAC del destino, genera una transmisión ARP.
 Si un dispositivo que recibe una solicitud ARP tiene la dirección IPv4 de destino, responde
con una respuesta ARP.
 Si ningún dispositivo responde a la solicitud de ARP, entonces el nodo de origen
transmitirá el paquete de datos a todos los dispositivos en el segmento de red.
 Se envía una solicitud ARP a todos los dispositivos en la LAN Ethernet y contiene la
dirección IP del host de destino y la dirección MAC de multidifusión.
 
Explicación: cuando un nodo encapsula un paquete de datos en una trama, necesita la dirección
MAC de destino. Primero, determina si el dispositivo de destino está en la red local o en una red
remota. Luego, verifica la tabla ARP (no la tabla MAC) para ver si existe un par de dirección IP y
dirección MAC para la dirección IP de destino (si el host de destino está en la red local) o la
dirección IP de la puerta de enlace predeterminada (si el el host de destino está en una red
remota). Si la coincidencia no existe, genera una transmisión ARP para buscar la resolución de
dirección IP a dirección MAC. Debido a que se desconoce la dirección MAC de destino, la solicitud
ARP se transmite con la dirección MAC FFFF.FFFF.FFFF . O el dispositivo de destino o la puerta de
enlace predeterminada responderá con su dirección MAC, lo que permite que el nodo de envío
ensamble la trama. Si ningún dispositivo responde a la solicitud de ARP, el nodo de origen
descartará el paquete porque no se puede crear una trama.
 
19. ¿Qué es una propiedad de la tabla ARP en un dispositivo?
 Las entradas en una tabla ARP tienen una marca de tiempo y se purgan después de que
expira el tiempo de espera.
 Cada sistema operativo usa el mismo temporizador para eliminar entradas antiguas de la
caché ARP.
 Las entradas de direcciones IP a MAC estáticas se eliminan dinámicamente de la tabla ARP.
 Los sistemas operativos Windows almacenan entradas de caché ARP durante 3 minutos.
 
20. ¿Cuál es el propósito de Tor?
 para permitir a los usuarios navegar por Internet de forma anónima
 para conectarse de forma segura a una red remota a través de un enlace no seguro, como
una conexión a Internet
 donar ciclos de procesador a tareas computacionales distribuidas en un procesador que
comparte una red P2P
 para inspeccionar el tráfico entrante y buscar cualquiera que viole una regla o coincida con
la firma de un exploit conocido
 
Explicación: Tor es una plataforma de software y una red de hosts peer-to-peer (P2P) que
funcionan como enrutadores. Los usuarios acceden a la red Tor utilizando un navegador especial
que les permite navegar de forma anónima.
 
21. ¿Qué dos protocolos de red puede utilizar un actor de amenazas para exfiltrar datos en el
tráfico disfrazado de tráfico de red normal? (Escoge dos.)
 NTP
 DNS
 HTTP
 syslog
 SMTP
 
22. ¿Cuál es la diferencia clave entre los datos capturados por NetFlow y los datos capturados
por Wireshark?
 Los datos de NetFlow muestran el contenido del flujo de la red, mientras que los datos de
Wireshark muestran las estadísticas del flujo de la red.
 Los datos de NetFlow son analizados por tcpdump mientras que los datos de Wireshark
son analizados por nfdump.
 NetFlow proporciona datos de transacciones, mientras que Wireshark proporciona datos
de sesiones.
 NetFlow recopila metadatos de un flujo de red, mientras que Wireshark captura paquetes
de datos completos.
 
Explicación: Wireshark captura todo el contenido de un paquete. NetFlow no lo hace. En cambio,
NetFlow recopila metadatos o datos sobre el flujo.
 
23. ¿Qué herramienta captura paquetes de datos completos solo con una interfaz de línea de
comandos?
 nfdump
 Wireshark
 NBAR2
 tcpdump
 
Explicación: La herramienta de línea de comandos tcpdump es un analizador de
paquetes. Wireshark es un analizador de paquetes con una interfaz GUI.
 
24. ¿Qué método se puede utilizar para endurecer un dispositivo?
 mantener el uso de las mismas contraseñas
 permitir que los servicios predeterminados permanezcan habilitados
 permitir la detección automática de USB
 use SSH y desactive el acceso a la cuenta raíz a través de SSH
 
Explicación: Las mejores prácticas básicas para
la protección de dispositivos son las siguientes: Garantizar la seguridad física.
Minimice los paquetes instalados.
Desactive los servicios no utilizados.
Utilice SSH y desactive el inicio de sesión de la cuenta raíz a través de SSH.
Mantenga el sistema actualizado.
Desactive la detección automática de USB.
Aplique contraseñas seguras.
Forzar cambios periódicos de contraseña.
Evite que los usuarios reutilicen contraseñas antiguas.
Revise los registros con regularidad.
 
25. En un sistema operativo Linux, ¿qué componente interpreta los comandos del usuario e
intenta ejecutarlos?
 GUI
 demonio
 núcleo
 cáscara
 
26. Un administrador de red está configurando un servidor AAA para administrar la
autenticación RADIUS. ¿Qué dos funciones se incluyen en la autenticación RADIUS? (Escoge
dos.)
 cifrado para todas las comunicaciones
 cifrado solo para los datos
 proceso único de autenticación y autorización
 procesos separados para autenticación y autorización
 contraseñas ocultas durante la transmisión
 
27. ¿Qué es la escalada de privilegios?
 Las vulnerabilidades en los sistemas se aprovechan para otorgar niveles de privilegio más
altos de los que debería tener alguien o algún proceso.
 A todos se les otorgan todos los derechos de forma predeterminada sobre todo y los
derechos se eliminan solo cuando alguien abusa de los privilegios.
 A alguien se le otorgan derechos porque ha recibido un ascenso.
 Un problema de seguridad ocurre cuando los funcionarios corporativos de alto rango
exigen derechos sobre sistemas o archivos que no deberían tener.
 
Explicación: Con la escalada de privilegios, las vulnerabilidades se explotan para otorgar niveles
más altos de privilegios. Una vez que se otorga el privilegio, el actor de la amenaza puede acceder
a información confidencial o tomar el control del sistema.
 
28. ¿Cuáles son las dos garantías que ofrece la firma digital sobre el código que se descarga de
Internet? (Escoge dos.)
 El código no contiene virus.
 El código no se ha modificado desde que salió del editor del software.
 El código es auténtico y, en realidad, lo obtiene el editor.
 El código no contiene errores.
 El código fue cifrado con una clave pública y privada.
 
Explicación: El código de firma digital proporciona varias garantías sobre el código:
El código es auténtico y, en realidad, lo obtiene el editor.
El código no se ha modificado desde que salió del editor del software.
Sin lugar a dudas, el editor publicó el código. Esto proporciona no repudio al acto de publicar.
 
29. Una empresa de TI recomienda el uso de aplicaciones PKI para intercambiar información de
forma segura entre los empleados. ¿En qué dos casos podría una organización utilizar
aplicaciones PKI para intercambiar información de forma segura entre usuarios? (Escoge dos.)
 Servicio web HTTPS
 Autenticación 802.1x
 servidor NTP local
 Transferencias FTP
 permiso de acceso a archivos y directorios
 
30. ¿Qué medida puede tomar un analista de seguridad para realizar un monitoreo de seguridad
efectivo contra el tráfico de red encriptado por tecnología SSL?
 Utilice un servidor Syslog para capturar el tráfico de la red.
 Implemente un dispositivo SSL de Cisco.
 Requiere conexiones de acceso remoto a través de IPsec VPN.
 Implemente un Cisco ASA.
 
31. Un administrador está tratando de desarrollar una política de seguridad BYOD para los
empleados que traen una amplia gama de dispositivos para conectarse a la red de la
empresa. ¿Qué tres objetivos debe abordar la política de seguridad BYOD? (Elige tres.)
 Todos los dispositivos deben estar asegurados contra responsabilidad si se utilizan para
comprometer la red corporativa.
 Todos los dispositivos deben tener autenticación abierta con la red corporativa.
 Se deben definir los derechos y actividades permitidos en la red corporativa.
 Deben establecerse salvaguardias para cualquier dispositivo personal que se vea
comprometido.
 Se debe definir el nivel de acceso de los empleados al conectarse a la red corporativa.
 Todos los dispositivos deben poder conectarse a la red corporativa sin problemas.
 
32. Haga coincidir la política de seguridad con la descripción. (No se utilizan todas las opciones).

 
33. Empareje el ataque con la definición. (No se utilizan todas las opciones).

34. ¿Qué tipo de ataque tiene como objetivo una base de datos SQL utilizando el campo de
entrada de un usuario?
 Inyección XML
 desbordamiento de búfer
 Secuencias de comandos entre sitios
 inyección SQL
 
Explicación: Un delincuente puede insertar una declaración SQL maliciosa en un campo de entrada
en un sitio web donde el sistema no filtra correctamente la entrada del usuario.
 
35. ¿Cuáles son dos características de las direcciones MAC Ethernet? (Escoge dos.)
 Las direcciones MAC utilizan una estructura jerárquica flexible.
 Se expresan como 12 dígitos hexadecimales.
 Son únicos a nivel mundial.
 Se pueden enrutar en Internet.
 Las direcciones MAC deben ser únicas para las interfaces Ethernet y serie de un
dispositivo.
 
36. Un usuario llama para informar que una PC no puede acceder a Internet. El técnico de red le
pide al usuario que emita el comando ping 127.0.0.1 en una ventana de símbolo del sistema. El
usuario informa que el resultado son cuatro respuestas positivas. ¿Qué conclusión se puede
sacar con base en esta prueba de conectividad?
 La dirección IP obtenida del servidor DHCP es correcta.
 La PC puede acceder a la red. El problema existe más allá de la red local.
 La PC puede acceder a Internet. Sin embargo, es posible que el navegador web no
funcione.
 La implementación de TCP / IP es funcional.
 
37. ¿Qué caracteriza a un actor de amenazas?
 Todos son individuos altamente calificados.
 Siempre usan herramientas avanzadas para lanzar ataques.
 Siempre intentan causar algún daño a un individuo u organización.
 Todos pertenecen al crimen organizado.
 
38. Una computadora presenta a un usuario una pantalla que solicita el pago antes de que el
mismo usuario pueda acceder a los datos del usuario. ¿Qué tipo de malware es este?
 un tipo de bomba lógica
 un tipo de virus
 un tipo de gusano
 un tipo de ransomware
 
Explicación: el ransomware comúnmente cifra los datos en una computadora y hace que los datos
no estén disponibles hasta que el usuario de la computadora paga una suma específica de dinero
 
39. ¿Qué tipo de mensaje ICMPv6 proporciona información de direccionamiento de red a los
hosts que utilizan SLAAC?
 solicitud de enrutador
 anuncio vecino
 solicitud de vecino
 anuncio de enrutador
 
40. Un cliente está utilizando SLAAC para obtener una dirección IPv6 para la interfaz. Después de
que se haya generado una dirección y se haya aplicado a la interfaz, ¿qué debe hacer el cliente
antes de que pueda comenzar a usar esta dirección IPv6?
 Debe esperar un mensaje de anuncio de enrutador ICMPv6 que le dé permiso para usar
esta dirección.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para determinar qué puerta de
enlace predeterminada debe usar.
 Debe enviar un mensaje de solicitud de vecino ICMPv6 para asegurarse de que la dirección
no esté ya en uso en la red.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para solicitar la dirección del
servidor DNS.
 
41. ¿Qué dos tipos de tráfico de red ilegible podrían eliminarse de los datos recopilados por
NSM? (Escoge dos.)
 Tráfico STP
 Tráfico IPsec
 el enrutamiento actualiza el tráfico
 Tráfico SSL
 tráfico de transmisión
 
Explicación: Para reducir la enorme cantidad de datos recopilados para que los analistas de
ciberseguridad puedan centrarse en las amenazas críticas , algunos datos menos importantes o
inutilizables podrían eliminarse de los conjuntos de datos. Por ejemplo, los datos cifrados, como el
tráfico IPsec y SSL, podrían eliminarse porque no se pueden leer en un período de tiempo
razonable.
 
42. ¿Qué componente central de código abierto de Elastic-stack es responsable de aceptar los
datos en su formato nativo y hacer que los elementos de los datos sean consistentes en todas
las fuentes?
 Logstash
 Kibana
 Beats
 Elasticsearch
 

43. Empareje a la parte interesada del incidente de seguridad con el rol.

 
44. En el ciclo de vida del proceso de respuesta a incidentes del NIST, ¿qué tipo de vector de
ataque implica el uso de fuerza bruta contra dispositivos, redes o servicios?
 medios de comunicación
 interpretación
 desgaste
 pérdida o robo
 
Explicación: Los vectores de ataque comunes incluyen medios, desgaste, suplantación y pérdida o
robo. Los ataques de desgaste son los ataques que utilizan la fuerza bruta. Los ataques a los
medios son los iniciados desde dispositivos de almacenamiento. Los ataques de suplantación de
identidad ocurren cuando algo o alguien es reemplazado con el propósito del ataque, y los ataques
de pérdida o robo son iniciados por equipos dentro de la organización.
 
45. Relacionar la organización de seguridad con sus funciones de seguridad. (No se utilizan todas
las opciones).

 
46. ¿Cuál es una característica de CybOX?
 Es un conjunto de esquemas estandarizados para especificar, capturar, caracterizar y
comunicar eventos y propiedades de las operaciones de red.
 Permite el intercambio en tiempo real de indicadores de ciberamenazas entre el gobierno
federal de los Estados Unidos y el sector privado.
 Es un conjunto de especificaciones para el intercambio de información sobre
ciberamenazas entre organizaciones.
 Es la especificación de un protocolo de capa de aplicación que permite la comunicación de
CTI sobre HTTPS.
 
47. Después de que el host A recibe una página web del servidor B, el host A termina la conexión
con el servidor B. Haga coincidir cada paso con su opción correcta en el proceso de terminación
normal para una conexión TCP. (No se utilizan todas las opciones).

 
48. ¿Cuáles son las dos formas en que ICMP puede ser una amenaza para la seguridad de una
empresa? (Escoge dos.)
 recopilando información sobre una red
 corrompiendo datos entre servidores de correo electrónico y destinatarios de correo
electrónico
 por la infiltración de páginas web
 corrompiendo los paquetes de datos IP de la red
 proporcionando un conducto para los ataques DoS
 
Explicación: ICMP se puede utilizar como conducto para ataques DoS. Se puede utilizar para
recopilar información sobre una red, como la identificación de hosts y la estructura de la red, y
para determinar los sistemas operativos que se utilizan en la red.
 
49. ¿Qué tres campos de encabezado IPv4 no tienen equivalente en un encabezado IPv6? (Elige
tres.)
 desplazamiento de fragmento
 protocolo
 bandera
 TTL
 identificación
 versión
 
Explicación: A diferencia de IPv4, los enrutadores IPv6 no realizan fragmentación. Por lo tanto, los
tres campos que admiten la fragmentación en el encabezado IPv4 se eliminan y no tienen
equivalente en el encabezado IPv6. Estos tres campos son el desplazamiento del fragmento, el
indicador y la identificación. IPv6 admite la fragmentación de paquetes de host mediante el uso de
encabezados de extensión, que no forman parte del encabezado IPv6.
 
50. ¿Qué dos comandos de red están asociados con el uso compartido de recursos de
red? (Escoge dos.)
 inicio neto
 cuentas netas
 participación neta
 uso neto
 parada neta
 
Explicación:
El comando net es un comando muy importante. Algunos comandos de red comunes incluyen
estos:
 cuentas de red : establece requisitos de contraseña e inicio de sesión para los usuarios
 sesión de red : enumera o desconecta sesiones entre una computadora y otras
computadoras en la red
 net share : crea, elimina o administra recursos compartidos
 net start : inicia un servicio de red o enumera los servicios de red en ejecución
 net stop : detiene un servicio de red
 uso de la red : conecta, desconecta y muestra información sobre los recursos de red
compartidos
 Vista de red : muestra una lista de computadoras y dispositivos de red en la red.
 
51. Haga coincidir la clave de registro de Windows 10 con su descripción. (No se utilizan todas
las opciones)

 
52. ¿Qué formato de PDU se utiliza cuando la NIC de un host recibe bits del medio de red?
 segmento
 archivo
 paquete
 cuadro
 
Explicación: Cuando se reciben en la capa física de un host, los bits se formatean en una trama en
la capa de enlace de datos. Un paquete es la PDU en la capa de red. Un segmento es la PDU en la
capa de transporte. Un archivo es una estructura de datos que se puede utilizar en la capa de
aplicación.
 
53. Un usuario está ejecutando un tracert a un dispositivo remoto. ¿En qué punto dejaría de
reenviar el paquete un enrutador que se encuentra en la ruta hacia el dispositivo de destino?
 cuando el enrutador recibe un mensaje de tiempo excedido de ICMP
 cuando los valores de los mensajes de solicitud de eco y respuesta de eco llegan a cero
 cuando el valor RTT llega a cero
 cuando el valor en el campo TTL llega a cero
 cuando el anfitrión responde con un mensaje de respuesta de eco ICMP
 
Explicación: Cuando un enrutador recibe un paquete de traceroute, el valor en el campo TTL se
reduce en 1. Cuando el valor en el campo llega a cero, el enrutador receptor no reenviará el
paquete y enviará un mensaje ICMP Tiempo excedido al fuente.
 
54. Consulte la exposición. ¿Qué solución puede proporcionar una VPN entre el sitio A y el sitio B
para admitir la encapsulación de cualquier protocolo de Capa 3 entre las redes internas de cada
sitio?

 un túnel IPsec
 Cisco SSL VPN
 un túnel GRE
 un túnel de acceso remoto
 
Explicación: Un túnel de encapsulación de enrutamiento genérico (GRE) es una solución de túnel
VPN de sitio a sitio no segura que es capaz de encapsular cualquier protocolo de capa 3 entre
varios sitios a través de una red IP.
 
55. ¿Con qué propósito usaría un administrador de red la herramienta Nmap?
 protección de las direcciones IP privadas de los hosts internos
 identificación de anomalías específicas de la red
 recopilación y análisis de alertas y registros de seguridad
 detección e identificación de puertos abiertos
 
56. Haga coincidir el servicio de red con la descripción.

 
57. Una aplicación cliente necesita terminar una sesión de comunicación TCP con un
servidor. Coloque los pasos del proceso de terminación en el orden en que ocurrirán. (Nat, se
utilizan todas las opciones).
58. Empareja la superficie de ataque con las hazañas de ataque.

 
59. Haga coincidir la aplicación de firewall basada en host de Linux con su descripción.

 
60. ¿Qué ataque de red busca crear un DoS para los clientes evitando que puedan obtener una
concesión de DHCP?
 Hambre DHCP
 Suplantación de direcciones IP
 Suplantación de DHCP
 Ataque de mesa CAM
 
Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de
crear un DoS para los clientes de DHCP. Para lograr este objetivo, el atacante utiliza una
herramienta que envía muchos mensajes DHCPDISCOVER con el fin de ceder todo el grupo de
direcciones IP disponibles, negándolas así a los hosts legítimos.
61. Consulte la exposición. Si Host1 transfiriera un archivo al servidor, ¿qué capas del modelo
TCP / IP se utilizarían?

 
 solo aplicaciones y capas de Internet
 capas de aplicación, transporte, Internet y acceso a la red
 solo capas de acceso a Internet y a la red
 solo capas de aplicación, transporte, red, enlace de datos y físicas
 solo capas de aplicaciones, Internet y acceso a la red
 aplicación, sesión, transporte, red, enlace de datos y capas físicas
 
Explicación: El modelo TCP / IP contiene las capas de aplicación, transporte, Internet y acceso a la
red. Una transferencia de archivos utiliza el protocolo de capa de aplicación FTP. Los datos se
moverían desde la capa de aplicación a través de todas las capas del modelo y a través de la red
hasta el servidor de archivos.
 
62. Una empresa tiene un servidor de archivos que comparte una carpeta denominada
Pública. La política de seguridad de la red especifica que a la carpeta pública se le asignan
derechos de solo lectura a cualquier persona que pueda iniciar sesión en el servidor, mientras
que los derechos de edición se asignan solo al grupo de administración de la red. ¿Qué
componente se aborda en el marco del servicio de red AAA?
 automatización
 autenticación
 autorización
 contabilidad
 
Explicación: Después de que un usuario se autentica con éxito (inicia sesión en el servidor), la
autorización es el proceso de determinar a qué recursos de red puede acceder el usuario y qué
operaciones (como leer o editar) puede realizar el usuario.
 
63. Haga coincidir el tipo de entrada de la tabla de enrutamiento de la red de destino con una
definición.

 
 
64. Una persona que llega a un café por primera vez desea obtener acceso inalámbrico a
Internet utilizando una computadora portátil. ¿Cuál es el primer paso que hará el cliente
inalámbrico para comunicarse a través de la red mediante un marco de gestión inalámbrica?
 asociarse con la AP
 autenticarse en el AP
 descubre el AP
 de acuerdo con el AP sobre la carga útil
 
Explicación: Para que los dispositivos inalámbricos se comuniquen en una red inalámbrica, los
marcos de administración se utilizan para completar un proceso de tres etapas:
Descubra el AP
Autentíquese con el AP
Asociado con el AP
 
65. A un dispositivo se le ha asignado la dirección IPv6 de 2001: 0db 8: cafe : 4500: 1000: 00d8:
0058: 00ab / 64. ¿Cuál es el identificador de red del dispositivo?
 2001: 0db 8: café : 4500: 1000
 2001: 0db 8: cafe : 4500: 1000: 00d8: 0058: 00ab
 1000: 00d8: 0058: 00ab
 2001: 0db 8: café : 4500
 2001
 
Explicación: La dirección tiene una longitud de prefijo de / 64. Por lo tanto, los primeros 64 bits
representan la parte de la red, mientras que los últimos 64 bits representan la parte del host de la
dirección IPv6.
 
66. Un administrador desea crear cuatro subredes a partir de la dirección de red
192.168.1.0/24. ¿Cuál es la dirección de red y la máscara de subred de la segunda subred
utilizable?
subred 192.168.1.64
máscara de subred 255.255.255.192
subred 192.168.1.64
máscara de subred 255.255.255.240
subred 192.168.1.32
máscara de subred 255.255.255.240
subred 192.168.1.128
máscara de subred 255.255.255.192
subred 192.168.1.8
máscara de subred 255.255.255.224
 
67. ¿Qué término describe un conjunto de herramientas de software diseñadas para aumentar
los privilegios de un usuario o para otorgar acceso al usuario a partes del sistema operativo que
normalmente no deberían estar permitidas?
 compilador
 rootkit
 gerente de empaquetación
 pruebas de penetración
 
Explicación: Un atacante utiliza un rootkit para asegurar una puerta trasera a una computadora
comprometida, otorgar acceso a partes del sistema operativo que normalmente no están
permitidas o aumentar los privilegios de un usuario.
 
68. El personal de seguridad de TI de una organización advierte que el servidor web desplegado
en la DMZ suele ser el objetivo de los agentes de amenazas. Se toma la decisión de implementar
un sistema de administración de parches para administrar el servidor. ¿Qué método de
estrategia de gestión de riesgos se está utilizando para responder al riesgo identificado?
 riesgo compartido
 evitación de riesgo
 la reducción de riesgos
 retención de riesgo
 
Explicación: Hay cuatro estrategias potenciales para responder a los riesgos que se han
identificado:
Evitación de riesgos : deje de realizar las actividades que generan riesgos.
Reducción de riesgos : disminuya el riesgo tomando medidas para reducir la vulnerabilidad.
Riesgo compartido : transfiera parte del riesgo a otras partes.
Retención de riesgos : acepte el riesgo y sus consecuencias.
 
69. ¿Cuáles son las tres características de un sistema de gestión de seguridad de la
información? (Elige tres.)
 Implica la implementación de sistemas que rastrean la ubicación y configuración de
dispositivos y software en red en una empresa.
 Es un enfoque sistemático y de múltiples capas de la ciberseguridad.
 Aborda el inventario y control de configuraciones de hardware y software de sistemas.
 Consiste en un conjunto de prácticas que se aplican sistemáticamente para garantizar la
mejora continua en la seguridad de la información.
 Consiste en un marco de gestión a través del cual una organización identifica, analiza y
aborda los riesgos de seguridad de la información.
 Se basa en la aplicación de servidores y dispositivos de seguridad.
 
Explicación: Un sistema de gestión de seguridad de la información (SGSI) consiste en un marco de
gestión a través del cual una organización identifica, analiza y aborda los riesgos de seguridad de la
información. Los SGSI no se basan en servidores o dispositivos de seguridad. En cambio, un SGSI
consiste en un conjunto de prácticas que una organización aplica sistemáticamente para garantizar
la mejora continua en la seguridad de la información. Los SGSI proporcionan modelos
conceptuales que guían a las organizaciones en la planificación, implementación, gobierno y
evaluación de programas de seguridad de la información.
Los SGSI son una extensión natural del uso de modelos comerciales populares, como la Gestión de
la calidad total (TQM) y los Objetivos de control para la información y las tecnologías relacionadas
(COBIT), en el ámbito de la ciberseguridad.
Un SGSI es un enfoque sistemático de varias capas para la ciberseguridad. El enfoque incluye
personas, procesos, tecnologías y las culturas en las que interactúan en un proceso de gestión de
riesgos.
 
70. ¿Qué tres tecnologías deberían incluirse en un sistema de gestión de eventos e información
de seguridad SOC? (Elige tres.)
 recopilación, correlación y análisis de eventos
 monitoreo de seguridad
 autenticacion de usuario
 servicio proxy
 prevención de intrusiones
 inteligencia de amenazas
 
Explicación: Las tecnologías en un SOC deben incluir lo siguiente:
• Recopilación, correlación y análisis de eventos
• Monitoreo de seguridad
• Control de seguridad
• Administración de registros
• Evaluación de
vulnerabilidades
• Seguimiento de vulnerabilidades • Inteligencia de amenazas El
servidor proxy, VPN e IPS son dispositivos de seguridad implementados en el infraestructura de
red.
 
71. ¿Qué parte de la URL, http://www.cisco.com/index.html, representa el dominio DNS de
nivel superior?
 http
 www
 .com
 índice
Explicación: Los componentes de la URL http://www.cisco.com/index.htm son los siguientes:
http = protocolo
www = parte del nombre del servidor
cisco = parte del
índice del nombre de dominio = nombre del archivo
com = la parte superior- dominio de nivel
 
72. ¿Qué describe mejor la amenaza de seguridad de la suplantación de identidad?
 enviar correos electrónicos masivos a personas, listas o dominios con la intención de evitar
que los usuarios accedan al correo electrónico
 enviar cantidades anormalmente grandes de datos a un servidor remoto para evitar el
acceso del usuario a los servicios del servidor
 interceptar el tráfico entre dos hosts o insertar información falsa en el tráfico entre dos
hosts
 hacer que los datos parezcan provenir de una fuente que no es la fuente real
 
73. Una empresa recién creada tiene quince computadoras con Windows 10 que deben
instalarse antes de que la empresa pueda abrir sus puertas. ¿Cuál es la mejor práctica que el
técnico debe implementar al configurar el Firewall de Windows?
 El técnico debe eliminar todas las regalas de firewall predeterminadas y denegar
selectivamente que el tráfico llegue a la red de la empresa.
 Después de implementar el software de seguridad de terceros para la empresa, el
técnico debe verificar que el Firewall de Windows esté desactivado.
 El técnico debe crear instrucciones para los usuarios corporativos sobre cómo permitir una
aplicación a través del Firewall de Windows utilizando la cuenta de administrador.
 El técnico debe habilitar el Firewall de Windows para el tráfico entrante e instalar otro
software de firewall para el control del tráfico saliente.
 
Explicación: Desactive el Firewall de Windows solo si hay otro software de firewall
instalado. Utilice el Firewall de Windows (Windows 7 u 8) o el Panel de control del Firewall de
Windows Defender (Windows 10) para habilitar o deshabilitar el Firewall de Windows.
 
74. ¿Qué enunciado define la diferencia entre los datos de la sesión y los datos de la transacción
en los registros?
 Los datos de la sesión analizan el tráfico de la red y predicen el comportamiento de la red,
mientras que los datos de las transacciones registran las sesiones de la red.
 Los datos de la sesión se utilizan para hacer predicciones sobre los comportamientos de la
red, mientras que los datos de las transacciones se utilizan para detectar anomalías en la
red.
 Los datos de sesión registran una conversación entre hosts, mientras que los datos de
transacciones se centran en el resultado de las sesiones de red.
 Los datos de la sesión muestran el resultado de una sesión de red, mientras que los datos
de la transacción responden al tráfico de amenazas de la red.
75. Haga coincidir el tipo de datos de monitoreo de red con la descripción.

 
 
76. ¿Qué dispositivo admite el uso de SPAN para permitir el monitoreo de actividad maliciosa?
 Conmutador Cisco Catalyst
 Cisco IronPort
 Cisco NAC
 Agente de seguridad de Cisco
 
77. ¿Qué término se usa para describir las consultas automatizadas que son útiles para agregar
eficiencia al flujo de trabajo de las ciberespacio?
 cadena de muerte cibernética
 libro de jugadas
 cadena de custodia
 rootkit
 
Explicación: Un libro de jugadas es una consulta automatizada que puede agregar eficiencia al
flujo de trabajo de las operaciones cibernéticas.
 
78. Cuando las ACL se configuran para bloquear la suplantación de direcciones IP y los ataques
de inundación DoS, ¿qué mensaje ICMP debe permitirse tanto entrante como saliente?
 respuesta de eco
 inalcanzable
 fuente para enfriar
 eco
 
79. Después de que una herramienta de monitoreo de seguridad identifica un adjunto de
malware que ingresa a la red, ¿cuál es el beneficio de realizar un análisis retrospectivo?
 Puede identificar cómo entró originalmente el malware en la red.
 Un análisis retrospectivo puede ayudar a rastrear el comportamiento del malware desde
el punto de identificación en adelante.
 Puede calcular la probabilidad de un incidente futuro.
 Puede determinar qué host de red se vio afectado primero.
 
Explicación: El monitoreo de seguridad general puede identificar cuándo un archivo adjunto de
malware ingresa a una red y qué host se infecta primero. El análisis retrospectivo da el siguiente
paso y es el seguimiento del comportamiento del malware a partir de ese momento.
 
80. ¿Qué dos tipos de datos se clasificarían como información de identificación personal
(PII)? (Escoge dos.)
 lectura del termostato de la casa
 número promedio de ganado por región
 número de identificación del vehículo
 uso de emergencia hospitalaria por región
 Fotografías de Facebook
 
81. Un técnico de la mesa de ayuda observa un aumento en el número de llamadas relacionadas
con el rendimiento de las computadoras ubicadas en la planta de fabricación. El técnico cree que
las botnets están causando el problema. ¿Cuáles son los dos propósitos de las botnets? (Escoge
dos.)
 para transmitir virus o spam a computadoras en la misma red
 para registrar todas y cada una de las pulsaciones de teclas
 atacar otras computadoras
 retener el acceso a una computadora o archivos hasta que se haya pagado el dinero
 para acceder a la parte restringida del sistema operativo
 
Explicación: Las botnets se pueden utilizar para realizar ataques DDoS, obtener datos o transmitir
malware a otros dispositivos de la red.
 
82. ¿Qué dos afirmaciones describen el uso de algoritmos asimétricos? (Escoge dos.)
 Las claves públicas y privadas se pueden usar indistintamente.
 Si se utiliza una clave pública para cifrar los datos, se debe utilizar una clave privada para
descifrar los datos.
 Si se utiliza una clave pública para cifrar los datos, se debe utilizar una clave pública para
descifrar los datos.
 Si se utiliza una clave privada para cifrar los datos, se debe utilizar una clave pública para
descifrar los datos.
 Si se utiliza una clave privada para cifrar los datos, se debe utilizar una clave privada para
descifrar los datos.
 
Explicación: Los algoritmos asimétricos utilizan dos claves: una clave pública y una clave
privada. Ambas claves son capaces de realizar el proceso de cifrado, pero se requiere la clave
complementaria coincidente para el descifrado. Si una clave pública cifra los datos, la clave privada
correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los
datos, la clave pública correspondiente descifra los datos.
 
83. ¿Qué tres servicios de seguridad se brindan mediante firmas digitales? (Elige tres.)
 proporciona confidencialidad de los datos firmados digitalmente
 garantiza que los datos no han cambiado en tránsito
 proporciona no repudio utilizando funciones HMAC
 proporciona cifrado de datos
 autentica la fuente
 autentica el destino
 
84. ¿Cuáles son dos métodos para mantener el estado de revocación de certificados? (Escoge
dos.)
 CRL
 DNS
 CA subordinada
 OCSP
 LDAP
 
Explicación: Es posible que sea necesario revocar un certificado digital si su clave se ve
comprometida o ya no se necesita. La lista de revocación de certificados (CRL) y el Protocolo de
estado de certificados en línea (OCSP) son dos métodos comunes para verificar el estado de
revocación de un certificado.
 
85. ¿Cuáles son dos usos de una lista de control de acceso? (Escoge dos.)
 Las ACL proporcionan un nivel básico de seguridad para el acceso a la red.
 Las ACL pueden controlar a qué áreas puede acceder un host en una red.
 Las ACL estándar pueden restringir el acceso a aplicaciones y puertos específicos.
 Las ACL ayudan al enrutador a determinar la mejor ruta hacia un destino.
 Las ACL pueden permitir o denegar el tráfico según la dirección MAC que se origina en el
enrutador.
 
Explicación: Las ACL se pueden usar para lo siguiente: Limitar el tráfico de la red para proporcionar
un rendimiento de red adecuado
Restringir la entrega de actualizaciones de enrutamiento
Proporcionar un nivel básico de seguridad
Filtrar el tráfico según el tipo de tráfico que se envía
Filtrar el tráfico según el direccionamiento IP
 
86. Un cliente está utilizando SLAAC para obtener una dirección IPv6 para la interfaz. Después de
que se haya generado una dirección y se haya aplicado a la interfaz, ¿qué debe hacer el cliente
antes de que pueda comenzar a usar esta dirección IPv6?
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para determinar qué puerta de
enlace predeterminada debe usar.
 Debe enviar un mensaje de solicitud de enrutador ICMPv6 para solicitar la dirección del
servidor DNS.
 Debe enviar un mensaje de solicitud de vecino ICMPv6 para asegurarse de que la
dirección no esté ya en uso en la red.
 Debe esperar un mensaje de anuncio de enrutador ICMPv6 que le dé permiso para usar
esta dirección.
 
Explicación: DHCPv6 sin estado o DHCPv6 con estado utiliza un servidor DHCP, pero la
configuración automática de direcciones sin estado (SLAAC) no. Un cliente SLAAC puede generar
automáticamente una dirección basada en información de enrutadores locales a través de
mensajes de anuncio de enrutador (RA). Una vez que se ha asignado una dirección a una interfaz a
través de SLAAC, el cliente debe asegurarse a través de la detección de direcciones duplicadas
(DAD) que la dirección no está en uso. Para ello, envía un mensaje de solicitud de vecino ICMPv6 y
escucha una respuesta. Si se recibe una respuesta, significa que otro dispositivo ya está usando
esta dirección.
 
87. Un técnico está solucionando un problema de conectividad de red. Los pings al enrutador
inalámbrico local se realizan correctamente, pero los pings a un servidor en Internet no se
realizan correctamente. ¿Qué comando de la CLI podría ayudar al técnico a encontrar la
ubicación del problema de red?
 tracert
 ipconfig
 msconfig
 ipconfig / renovar
 
Explicación: La utilidad tracert (también conocida como comando tracert o herramienta tracert)
permitirá al técnico localizar el enlace al servidor que no funciona. El comando ipconfig muestra
los detalles de configuración de la red de computadoras. El comando ipconfig / renew solicita una
dirección IP de un servidor DHCP. Msconfig no es un comando de resolución de problemas de red.
 
88. ¿Cuáles son las dos técnicas de evasión que utilizan los piratas informáticos? (Escoge dos.)
 caballo de Troya
 pivote
 rootkit
 reconocimiento
 suplantación de identidad
 
Explicación: Los piratas informáticos utilizan los siguientes métodos para evitar la detección:
Cifrado y tunelización: oculta o codifica el contenido del malware Agotamiento de
recursos: mantiene el dispositivo host demasiado ocupado para detectar la invasión
Fragmentación del tráfico: divide el malware en varios paquetes
Interpretación errónea a nivel de protocolo: se escabulle por el firewall
Pivot: utiliza un dispositivo de red comprometido para intentar acceder a otro dispositivo
Rootkit: permite que el pirata informático no sea detectado y oculta el software instalado por el
pirata informático
 
89. Cuando se ha producido un ataque a la seguridad, ¿qué dos enfoques deben tomar los
profesionales de la seguridad para mitigar un sistema comprometido durante el paso Acciones
sobre los objetivos según lo definido por el modelo Cyber Kill Chain? (Escoge dos.)
 Realice análisis forenses de criterios de valoración para una clasificación rápida.
 Capacite a los desarrolladores web para proteger el código.
 Cree detecciones para el comportamiento de malware conocido.
 Recopile archivos y metadatos de malware para análisis futuros.
 Detecte la exfiltración de datos, el movimiento lateral y el uso no autorizado de
credenciales.
 
Explicación: cuando se alerta a los profesionales de seguridad sobre los compromisos del sistema,
se debe realizar un análisis forense de los puntos finales de inmediato para una clasificación
rápida. Además, los esfuerzos de detección para actividades de ataque adicionales, como la
exfiltración de datos, el movimiento lateral y el uso no autorizado de credenciales, deben
mejorarse para reducir el daño al mínimo.
 
90. Coloca los siete pasos definidos en Cyber Kill Chain en el orden correcto.

 
 
¿Cuáles son los tres objetivos de un ataque de escaneo de puertos? (Elige tres.)
 para identificar configuraciones periféricas
 para determinar vulnerabilidades potenciales
 para deshabilitar puertos y servicios usados
 para identificar sistemas operativos
 para identificar servicios activos
 para descubrir las contraseñas del sistema
 
91. ¿Qué campo del encabezado TCP indica el estado del proceso de negociación de tres vías?
 bits de control
 ventana
 reservado
 suma de comprobación
 
Explicación: El valor en el campo de bits de control del encabezado TCP indica el progreso y el
estado de la conexión.
 
92. Un usuario abre tres navegadores en la misma PC para acceder a www.cisco.com y buscar
información sobre el curso de certificación. El servidor web de Cisco envía un datagrama como
respuesta a la solicitud de uno de los navegadores web. ¿Qué información utiliza la pila de
protocolos TCP / IP en la PC para identificar cuál de los tres navegadores web debería recibir la
respuesta?
 la dirección IP de origen
 el número de puerto de destino
 la dirección IP de destino
 el número de puerto de origen
 
Explicación: Cada aplicación cliente de navegador web abre un número de puerto generado
aleatoriamente en el rango de los puertos registrados y usa este número como el número de
puerto de origen en el datagrama que envía a un servidor. Luego, el servidor usa este número de
puerto como el número de puerto de destino en el datagrama de respuesta que envía al
navegador web. La PC que ejecuta la aplicación del navegador web recibe el datagrama y usa el
número de puerto de destino que está contenido en este datagrama para identificar la aplicación
cliente.
 
93. ¿Cuáles son los dos escenarios en los que el análisis probabilístico de seguridad es más
adecuado? (Escoge dos.)
 cuando se analizan las aplicaciones que cumplen con los estándares de aplicación / redes
 al analizar eventos con el supuesto de que siguen pasos predefinidos
 cuando las variables aleatorias crean dificultad para conocer con certeza el resultado de
cualquier evento dado
 al analizar aplicaciones diseñadas para eludir firewalls
 cuando cada evento es el resultado inevitable de causas antecedentes
 
94. ¿Qué herramienta es una aplicación web que proporciona al analista de ciberseguridad un
medio fácil de leer para ver una sesión de Capa 4 completa?
 Bufido
 Zeek
 CapME
 OSSEC
95. Empareje la categoría de ataques con la descripción. (No se utilizan todas las opciones).

 
 
96. ¿Cuáles son dos características del método SLAAC para la configuración de direcciones
IPv6? (Escoge dos.)
 La puerta de enlace predeterminada de un cliente IPv6 en una LAN será la dirección de
enlace local de la interfaz del enrutador adjunta a la LAN.
 Este método con estado de adquirir una dirección IPv6 requiere al menos un servidor
DHCPv6.
 Los clientes envían mensajes de publicidad del enrutador a los enrutadores para solicitar
direcciones IPv6.
 El direccionamiento IPv6 se asigna dinámicamente a los clientes mediante el uso de
ICMPv6.
 Los mensajes de solicitud de enrutador son enviados por el enrutador para ofrecer
direccionamiento IPv6 a los clientes.
 
97. Un técnico nota que una aplicación no responde a los comandos y que la computadora
parece responder lentamente cuando se abren aplicaciones. ¿Cuál es la mejor herramienta
administrativa para forzar la liberación de recursos del sistema de la aplicación que no
responde?
 Visor de eventos
 Restauración del sistema
 Añadir o eliminar programas
 Administrador de tareas
 
Explicación: Use la pestaña Rendimiento del Administrador de tareas para ver una representación
visual del uso de CPU y RAM. Esto es útil para determinar si se necesita más memoria. Utilice la
pestaña Aplicaciones para detener una aplicación que no responde.
 
98. ¿Cómo se pueden utilizar los datos estadísticos para describir o predecir el comportamiento
de la red?
 comparando el comportamiento normal de la red con el comportamiento actual de la
red
 grabando conversaciones entre terminales de red
 enumerando los resultados de las actividades de navegación web de los usuarios
 mostrando mensajes de alerta generados por Snort
 
Explicación: Los datos estadísticos se crean mediante el análisis de otras formas de datos de
red. Las características estadísticas del comportamiento normal de la red se pueden comparar con
el tráfico de la red actual en un esfuerzo por detectar anomalías. Las conclusiones resultantes del
análisis se pueden utilizar para describir o predecir el comportamiento de la red.
 
99. ¿Qué métrica del grupo de métricas base CVSS se utiliza con un vector de ataque?
 la proximidad del actor de la amenaza a la vulnerabilidad
 la presencia o ausencia del requisito de interacción del usuario para que un exploit sea
exitoso
 la determinación de si la autoridad inicial cambia a una segunda autoridad durante el
exploit
 la cantidad de componentes, software, hardware o redes que están fuera del control del
atacante y que deben estar presentes para que una vulnerabilidad sea explotada con éxito
 
Explicación: esta es una métrica que refleja la proximidad del actor de la amenaza al componente
vulnerable. Cuanto más alejado esté el actor de la amenaza del componente, mayor será la
gravedad. Los actores de amenazas cercanos a su red o dentro de su red son más fáciles de
detectar y mitigar.
 
100. ¿Qué función principal del Marco de Ciberseguridad del NIST se ocupa del desarrollo y la
implementación de salvaguardas que garantizan la prestación de servicios de infraestructura
crítica?
 responder
 detectar
 identificar
 recuperar
 proteger
 
101. ¿Qué dos técnicas se utilizan en un ataque pitufo? (Escoge dos.)
 secuestro de sesión
 agotamiento de recursos
 botnets
 amplificación
 reflexión
 
102. ¿Cuál es el objetivo principal de una plataforma de inteligencia de amenazas (TIP)?
 para agregar los datos en un solo lugar y presentarlos en un formato comprensible y
utilizable
 para proporcionar una especificación para un protocolo de capa de aplicación que permite
la comunicación de CTI sobre HTTPS
 proporcionar un esquema estandarizado para especificar, capturar, caracterizar y
comunicar eventos y propiedades de las operaciones de red
 para proporcionar una plataforma de operaciones de seguridad que integre y mejore
diversas herramientas de seguridad e inteligencia de amenazas
 
103. ¿Qué parámetro inalámbrico utiliza un punto de acceso para transmitir tramas que incluyen
el SSID?
 modo de seguridad
 modo activo
 Modo pasivo
 ajuste de canal
 
Explicación: Los dos modos de exploración o sondeo en los que se puede colocar un punto de
acceso son pasivo o activo. En modo pasivo, el AP anuncia el SSID, los estándares admitidos y la
configuración de seguridad en las tramas de baliza de difusión. En modo activo, el cliente
inalámbrico debe configurarse manualmente para los mismos parámetros inalámbricos que el AP
ha configurado.
 
104. Haga coincidir el campo de la tabla de eventos de Sguil con la descripción.

Haga coincidir el campo en la tabla de eventos de Sguil con la descripción


 
105. Un empleado se conecta de forma inalámbrica a la red de la empresa mediante un teléfono
celular. Luego, el empleado configura el teléfono celular para que actúe como un punto de
acceso inalámbrico que permitirá a los nuevos empleados conectarse a la red de la
empresa. ¿Qué tipo de amenaza a la seguridad describe mejor esta situación?
 punto de acceso no autorizado
 agrietamiento
 negación de servicio
 spoofing
 
106. ¿Qué información se requiere para una consulta de WHOIS?
 fuera de la dirección global del cliente
 Dirección del servidor de búsqueda de ICANN
 dirección de enlace local del propietario del dominio
 FQDN del dominio
 
107. ¿Qué dos afirmaciones describen las características de los algoritmos simétricos? (Escoge
dos.)
 Se les conoce como clave precompartida o clave secreta.
 Usan un par de clave pública y clave privada.
 Se utilizan comúnmente con tráfico VPN.
 Proporcionan confidencialidad, integridad y disponibilidad.
 
Explicación: Los algoritmos de cifrado simétrico utilizan la misma clave (también llamada secreto
compartido) para cifrar y descifrar los datos. Por el contrario, los algoritmos de cifrado asimétrico
utilizan un par de claves, una para el cifrado y otra para el descifrado.
 
108. ¿Cuáles son los dos inconvenientes de usar HIPS? (Escoge dos.)
 Con HIPS, el éxito o el fracaso de un ataque no se puede determinar fácilmente.
 Con HIPS, el administrador de la red debe verificar la compatibilidad con todos los
diferentes sistemas operativos utilizados en la red.
 HIPS tiene dificultades para construir una imagen de red precisa o coordinar eventos que
ocurren en toda la red.
 Si el flujo de tráfico de la red está cifrado, HIPS no puede acceder a las formas no cifradas
del tráfico.
 Las instalaciones de HIPS son vulnerables a ataques de fragmentación o ataques TTL
variables
 
109. ¿Cuáles son las tres funciones proporcionadas por el servicio syslog? (Elige tres.)
 para seleccionar el tipo de información de registro que se captura
 para sondear periódicamente a los agentes en busca de datos
 para proporcionar estadísticas sobre los paquetes que fluyen a través de un dispositivo
Cisco
 para proporcionar análisis de tráfico
 para recopilar información de registro para monitorear y solucionar problemas
 para especificar los destinos de los mensajes capturados
 
Explicación: Hay tres funciones principales proporcionadas por el servicio syslog:
1. recopilación de información de registro
2. selección del tipo de información a registrar
3. selección del destino de la información registrada
 
110. ¿Qué consideración es importante al implementar syslog en una red?
 Habilite el nivel más alto de syslog disponible para asegurar el registro de todos los
mensajes de eventos posibles.
 Sincronice relojes en todos los dispositivos de red con un protocolo como Network Time
Protocol.
 Registre todos los mensajes en el búfer del sistema para que se puedan mostrar al acceder
al enrutador.
 Utilice SSH para acceder a la información de syslog
 
111. ¿Cuáles son las dos formas en que los actores de amenazas usan NTP? (Escoge dos.)
 Colocan un archivo adjunto dentro de un mensaje de correo electrónico.
 Atacan la infraestructura NTP para corromper la información utilizada para registrar el
ataque.
 Colocan iFrames en una página web corporativa de uso frecuente.
 Codifican los datos robados como la parte del subdominio donde el servidor de nombres
está bajo el control de un atacante.
 Los actores de amenazas utilizan sistemas NTP para dirigir ataques DDoS.
 
112. ¿Qué dos funciones están incluidas en los protocolos TACACS + y RADIUS? (Escoge dos.)
 cifrado de contraseña
 procesos separados de autenticación y autorización
 Soporte SIP
 utilización de protocolos de capa de transporte
 Soporte 802.1X
 
Explicación: Tanto TACACS + como RADIUS admiten el cifrado de contraseña (TACACS + cifra todas
las comunicaciones) y utilizan el protocolo de capa 4 (TACACS + utiliza TCP y RADIUS utiliza
UDP). TACACS + admite la separación de los procesos de autenticación y autorización, mientras
que RADIUS combina autenticación y autorización como un solo proceso. RADIUS admite
tecnología de acceso remoto, como 802.1xy SIP; TACACS + no lo hace.
113. Haga coincidir la función SIEM con la descripción.

 
 
114. ¿Cuáles son los dos tipos de ataques que se utilizan en los resolutores abiertos de
DNS? (Escoge dos.)
 amplificación y reflexión
 flujo rápido
 Envenenamiento por ARP
 utilización de recursos
 amortiguación
 
Explicación: Los tres tipos de ataques utilizados en los resolutores abiertos de DNS son los
siguientes: Envenenamiento de la caché de DNS: el atacante envía información falsificada
falsificada para redirigir a los usuarios de sitios legítimos a sitios maliciosos
Ataques de amplificación y reflexión de DNS: el atacante envía un mayor volumen de ataques para
enmascarar lo verdadero fuente del ataque
Ataques de utilización de recursos de DNS: un ataque de denegación de servicio (DoS) que
consume recursos del servidor
 
115. ¿Qué firewall basado en host utiliza un enfoque de tres perfiles para configurar la
funcionalidad del firewall?
 iptables
 firewall de Windows
 nftables
 Envoltorio TCP
 
116. ¿Qué protocolo o servicio utiliza UDP para una comunicación de cliente a servidor y TCP
para una comunicación de servidor a servidor?
 HTTP
 FTP
 DNS
 SMTP
 
Explicación: Algunas aplicaciones pueden utilizar tanto TCP como UDP. DNS usa UDP cuando los
clientes envían solicitudes a un servidor DNS y TCP cuando dos servidores DNS se comunican
directamente.
 
117. ¿Cuál es una diferencia entre los modelos de red cliente-servidor y peer-to-peer?
 Solo en el modelo cliente-servidor pueden ocurrir transferencias de archivos.
 Una transferencia de datos que utiliza un dispositivo que actúa como cliente requiere la
presencia de un servidor dedicado.
 Una red peer-to-peer transfiere datos más rápido que una transferencia usando una red
cliente-servidor.
 Todos los dispositivos de una red peer-to-peer pueden funcionar como cliente o
servidor.
 
118. ¿Qué afirmación es correcta sobre los protocolos de red?
 Definen cómo se intercambian los mensajes entre el origen y el destino.
 Todos funcionan en la capa de acceso a la red de TCP / IP.
 Solo son necesarios para el intercambio de mensajes entre dispositivos en redes remotas.
 Los protocolos de red definen el tipo de hardware que se utiliza y cómo se monta en los
racks.
 
119. ¿Qué enfoque puede ayudar a bloquear posibles métodos de entrega de malware, como se
describe en el modelo Cyber Kill Chain, en un servidor web conectado a Internet?
 Cree detecciones para el comportamiento de malware conocido.
 Recopile archivos y metadatos de malware para análisis futuros.
 Audite el servidor web para determinar forense el origen del exploit.
 Analice la ruta de almacenamiento de la infraestructura utilizada para los archivos.
 
Explicación: un actor de amenazas puede enviar el arma a través de interfaces web al servidor de
destino, ya sea en cargas de archivos o solicitudes web codificadas. Al analizar la ruta de
almacenamiento de la infraestructura utilizada para los archivos, se pueden implementar medidas
de seguridad para monitorear y detectar las entregas de malware a través de estos métodos.
 
120. ¿Qué elemento de meta-característica en el modelo Diamond clasifica el tipo general de
evento de intrusión?
 fase
 resultados
 metodología
 dirección
 
121. ¿Qué comando de Linux se usa para administrar procesos?
 chrootkit
 ls
 grep
 matar
 
Explicación: El comando kill se usa para detener, reiniciar o pausar un proceso. El comando
chrootkit se usa para verificar la computadora en busca de rootkits, un conjunto de herramientas
de software que pueden aumentar el nivel de privilegios de un usuario u otorgar acceso a partes
de software que normalmente no están permitidas. El comando grep se usa para buscar un
archivo o texto dentro de un archivo. El comando ls se usa para listar archivos, directorios e
información de archivos.
 
122. ¿Qué herramienta se puede utilizar en un sistema Cisco AVC para analizar y presentar los
datos de análisis de la aplicación en informes de tablero?
 NetFlow
 NBAR2
 principal
 IPFIX
 
Explicación: Se puede utilizar un sistema de gestión y generación de informes, como Cisco Prime,
para analizar y presentar los datos de análisis de la aplicación en informes de panel para que los
utilice el personal de supervisión de la red.
 
123. ¿Qué registro del Visor de eventos de Windows incluye eventos relacionados con el
funcionamiento de controladores, procesos y hardware?
 registros del sistema
 registros de aplicaciones
 registros de seguridad
 registros de configuración
De forma predeterminada, Windows mantiene cuatro tipos de registros de host:
 Registros de aplicaciones: eventos registrados por varias aplicaciones
 Registros del sistema: eventos sobre el funcionamiento de controladores, procesos y
hardware
 Registros de configuración: información sobre la instalación del software, incluidas las
actualizaciones de Windows
 Registros de seguridad: eventos relacionados con la seguridad, como intentos de inicio de
sesión y operaciones relacionadas con la administración y el acceso a archivos u objetos
 
124. ¿Qué método se utiliza para hacer que los datos sean ilegibles para usuarios no
autorizados?
 Cifre los datos.
 Fragmenta los datos.
 Agregue una suma de comprobación al final de los datos.
 Asígnele un nombre de usuario y una contraseña.
 
Explicación: Los datos de la red se pueden cifrar utilizando varias aplicaciones de criptografía para
que los datos no sean legibles para usuarios no autorizados. Los usuarios autorizados tienen la
aplicación de criptografía para que los datos se puedan desencriptar.
 
125. Haga coincidir las pestañas del Administrador de tareas de Windows 10 con sus
funciones. (No se utilizan todas las opciones).

 
 
126. Para los sistemas de red, ¿qué sistema de gestión se ocupa del inventario y control de
configuraciones de hardware y software?
 gestión de activos
 gestión de vulnerabilidades
 gestión de riesgos
 gestión de la configuración
 
Explicación: La gestión de la configuración se ocupa del inventario y el control de las
configuraciones de hardware y software de los sistemas de red.
127. Haga coincidir la tecnología o el protocolo de red común con la descripción. (No se utilizan
todas las opciones).

 
 
128. ¿Cuáles son las tres funciones principales proporcionadas por Security Onion? (Elige tres.)
 Planificación de la Continuidad del Negocio
 captura completa de paquetes
 análisis de alerta
 detección de intrusos
 gestión de dispositivos de seguridad
 contención de amenazas
 
Explicación: Security Onion es una suite de código abierto de herramientas de Network Security
Monitoring (NSM) para evaluar alertas de ciberseguridad. Para los analistas de ciberseguridad,
Security Onion proporciona captura completa de paquetes, sistemas de detección de intrusos
basados en la red y en el host, y herramientas de análisis de alertas.
 
129. En términos de NAT, ¿qué tipo de dirección se refiere a la dirección IPv4 enrutable
globalmente de un host de destino en Internet?
 fuera global
 dentro de global
 fuera del local
 dentro del local
 
Explicación: Desde la perspectiva de un dispositivo NAT, los usuarios externos utilizan las
direcciones globales internas para comunicarse con los hosts internos. Las direcciones locales
internas son las direcciones asignadas a los hosts internos. Las direcciones globales externas son
las direcciones de los destinos en la red externa. Las direcciones locales externas son las
direcciones privadas reales de los hosts de destino detrás de otros dispositivos NAT.
 
130. ¿Qué dos campos o características examina Ethernet para determinar si una trama recibida
se pasa a la capa de enlace de datos o la NIC la descarta? (Escoge dos.)
 CEF
 dirección MAC de origen
 tamaño mínimo del marco
 auto-MDIX
 Secuencia de verificación de fotogramas
 
131. ¿Qué tipo de datos se considerarían un ejemplo de datos volátiles?
 caché del navegador web
 registros de memoria
 archivos de registro
 archivos temporales
 
Explicación: Los datos volátiles son datos almacenados en la memoria, como registros, caché y
RAM, o son datos que existen en tránsito. La memoria volátil se pierde cuando la computadora
pierde energía.
 
132. ¿Cuál es el objetivo principal de las explotaciones por parte de un actor de amenazas a
través del arma entregada a un objetivo durante la fase de explotación de Cyber Kill Chain?
 Lanzar un ataque DoS.
 Envíe un mensaje a un CnC controlado por el actor de amenazas.
 Rompe la vulnerabilidad y gana el control del objetivo.
 Establezca una puerta trasera en el sistema.
 
Explicación: Después de que se ha entregado el arma, el actor de la amenaza la usa para romper la
vulnerabilidad y obtener el control del objetivo. El actor de la amenaza utilizará un exploit que
obtenga el efecto deseado, lo haga en silencio y evite las detecciones. Establecer una puerta
trasera en el sistema de destino es la fase de instalación.
 
133. Consulte la exposición. Un administrador está tratando de solucionar problemas de
conectividad entre PC1 y PC2 y usa el comando tracert de PC1 para hacerlo. Según la salida
mostrada, ¿dónde debería comenzar el administrador a solucionar problemas?

Examen final CyberOps Associate 1.0


 R1
 PC2
 SW2
 R2
 SW1
 
Explicación: Tracert se utiliza para rastrear la ruta que toma un paquete. La única respuesta
exitosa fue del primer dispositivo a lo largo de la ruta en la misma LAN que el host de envío. El
primer dispositivo es la puerta de enlace predeterminada en el enrutador R1. Por lo tanto, el
administrador debe comenzar a solucionar problemas en el R1.
 
134. ¿Para qué tres herramientas de seguridad Cisco Talos mantiene conjuntos de reglas de
detección de incidentes de seguridad? (Elige tres.)
 Bufido
 NetStumbler
 Socat
 SpamCop
 ClamAV
 
135. ¿Qué firewall basado en host utiliza un enfoque de tres perfiles para configurar la
funcionalidad del firewall?
 firewall de Windows
 iptables
 Envoltorio TCP
 nftables
 
Explicación: Firewall de Windows utiliza un enfoque basado en perfiles para configurar la
funcionalidad del firewall. Utiliza tres perfiles, Público, Privado y Dominio, para definir funciones
de firewall.
 
136. Cuando un usuario visita el sitio web de una tienda en línea que utiliza HTTPS, el navegador
del usuario consulta a la CA para obtener una CRL. ¿Cuál es el propósito de esta consulta?
 para verificar la validez del certificado digital
 para solicitar el certificado digital autofirmado de CA
 para comprobar la longitud de la clave utilizada para el certificado digital
 para negociar el mejor cifrado a utilizar
 
Explicación: Se debe revocar un certificado digital si no es válido. Las CA mantienen una lista de
revocación de certificados (CRL), una lista de números de serie de certificados revocados que han
sido invalidados. El navegador del usuario consultará la CRL para verificar la validez de un
certificado.
 
137. ¿Qué paso del ciclo de vida de la gestión de vulnerabilidades determina un perfil de riesgo
de referencia para eliminar los riesgos en función de la criticidad de los activos, las amenazas de
vulnerabilidad y la clasificación de activos?
 descubrir
 evaluar
 priorizar activos
 verificar
 
Explicación: Los pasos del ciclo de vida de la gestión de vulnerabilidades son los siguientes:
 Descubrir: inventariar todos los activos en la red e identificar los detalles del host,
incluidos los sistemas operativos y los servicios abiertos, para identificar vulnerabilidades
 Priorizar los activos: categorizar los activos en grupos o unidades de negocio y asignar un
valor comercial a los grupos de activos en función de su importancia para las operaciones
comerciales
 Evaluar: determinar un perfil de riesgo de referencia para eliminar los riesgos en función
de la criticidad de los activos, las amenazas de vulnerabilidad y la clasificación de activos.
 Informe: mida el nivel de riesgo empresarial asociado con los activos de acuerdo con las
políticas de seguridad. Documente un plan de seguridad, monitoree la actividad sospechosa
y describa las vulnerabilidades conocidas.
 Remediar: priorice según el riesgo comercial y corrija las vulnerabilidades en orden de
riesgo.
 Verificar: verificar que las amenazas se hayan eliminado mediante auditorías de
seguimiento.
 
138. ¿Qué sistema de gestión implementa sistemas que rastrean la ubicación y configuración de
dispositivos y software en red en una empresa?
 gestión de activos
 gestión de vulnerabilidades
 gestión de riesgos
 gestión de la configuración
 
Explicación: La gestión de activos implica la implementación de sistemas que rastrean la ubicación
y configuración de dispositivos y software en red en toda la empresa.
 
139. Un administrador de red está revisando las alertas del servidor debido a informes de
lentitud de la red. El administrador confirma que una alerta fue un incidente de seguridad
real. ¿Cuál es la clasificación de alerta de seguridad de este tipo de escenario?
 falso negativo
 verdadero positivo
 verdadero negativo
 falso positivo
 
140. ¿Qué protocolo de capa de aplicación se utiliza para proporcionar servicios de impresión y
uso compartido de archivos a las aplicaciones de Microsoft?
 SMTP
 HTTP
 SMB
 DHCP
 
Explicación: SMB se utiliza en redes de Microsoft para compartir archivos y servicios de
impresión. El sistema operativo Linux proporciona un método para compartir recursos con redes
de Microsoft mediante el uso de una versión de SMB llamada SAMBA.
 
141. ¿Qué dispositivo en un enfoque de defensa en profundidad en capas niega las conexiones
iniciadas desde redes que no son de confianza a redes internas, pero permite que los usuarios
internos dentro de una organización se conecten a redes que no son de confianza?
 interruptor de capa de acceso
 cortafuegos
 enrutador interno
 IPS
 
Explicación: Un cortafuegos suele ser una segunda línea de defensa en un enfoque de defensa en
profundidad en capas para la seguridad de la red. El firewall normalmente se conecta a un
enrutador de borde que se conecta al proveedor de servicios. El firewall rastrea las conexiones
iniciadas dentro de la empresa que salen de la empresa y niega el inicio de conexiones desde redes
externas no confiables que van a redes internas confiables.
 
142. ¿Cuáles son dos posibles problemas de red que pueden resultar de la operación
ARP? (Escoge dos.)
 Un gran número de transmisiones de solicitudes de ARP podrían hacer que la tabla de
direcciones MAC del host se desborde e impida que el host se comunique en la red.
 En redes grandes con poco ancho de banda, múltiples transmisiones ARP podrían causar
demoras en la comunicación de datos.
 Los atacantes de red podrían manipular la dirección MAC y las asignaciones de
direcciones IP en los mensajes ARP con la intención de interceptar el tráfico de la red.
 Varias respuestas ARP dan como resultado la tabla de direcciones MAC del conmutador
que contiene entradas que coinciden con las direcciones MAC de los hosts que están
conectados al puerto del conmutador correspondiente.
 La configuración manual de asociaciones ARP estáticas podría facilitar el envenenamiento
de ARP o la suplantación de direcciones MAC.
 
143. ¿Qué tres procedimientos en Sguil se proporcionan a los analistas de seguridad para
abordar las alertas? (Elige tres.)
 Escale una alerta incierta.
 Correlacione alertas similares en una sola línea.
 Categoriza los verdaderos positivos.
 Pivote hacia otras fuentes de información y herramientas.
 Construya consultas usando Query Builder.
 Caducar falsos positivos.
 
Explicación: Sguil es una herramienta para abordar alertas. Se pueden completar tres tareas en
Sguil para administrar alertas:
 Las alertas que resulten ser falsos positivos pueden caducar.
 Una alerta se puede escalar si el analista de ciberseguridad no está seguro de cómo
manejarla.
 Los eventos que se han identificado como verdaderos positivos se pueden clasificar.
 
144. Haga coincidir la métrica SOC con la descripción. (No se aplican todas las opciones).

 
 
145. ¿Qué dos servicios proporciona la herramienta NetFlow? (Escoge dos.)
 Configuración de QoS
 facturación de la red basada en el uso
 análisis de registros
 supervisión de la lista de acceso
 monitoreo de red
 
Explicación: NetFlow proporciona de manera eficiente un conjunto importante de servicios para
aplicaciones IP, incluida la contabilidad del tráfico de red, la facturación de la red basada en el uso,
la planificación de la red, la seguridad, las capacidades de monitoreo de denegación de servicio y
el monitoreo de la red.
 
146. Un administrador descubre que un usuario está accediendo a un sitio web recién creado
que puede ser perjudicial para la seguridad de la empresa. ¿Qué acción debe tomar el
administrador primero en términos de la política de seguridad?
 Solicite al usuario que se detenga inmediatamente e informe al usuario que ello constituye
motivo de despido.
 Cree una regla de firewall que bloquee el sitio web correspondiente.
 Revise la AUP inmediatamente y haga que todos los usuarios firmen la AUP actualizada.
 Suspenda inmediatamente los privilegios de red del usuario.