MASTER EN CIBERSEGURIDAD (HTTPS... Tecnologias SIEM a indice (htt usformacionnebrija.imf.com/general/prt/prg/curso,php2codcurs loi we xdcurso=CB212) > Emulador de eximenes (listadoexamenes pho?varr: Exam Resultado del examen Examen no superado Este examen fue realizado el 28-01-2023 15:12 ( El resultado fue: 11/15 (73.3%) El tiempo de realizacién fue: 22 Min. 4 Seg. RECUERDA: Este examen se consideraré superado si la nota obtenida es igual o superior a 8 sobre 10 puntos. sRespuesta correcta ZQué event ID de seguridad en Windows 2008 o superior indica la creacién de cuenta de usuario? 4624. 4720. 4725. 900 > 4726. Pespuesta incorrecta Si hablamos de una herramienta que solo es capaz de monitorizar en tiempo real, pero no es capaz de gestionar la informacién a largo plazo, estamos hablado de una solucién: IM, SEM SIEM, onw > SAM. Respuesta correcta ZQué protocolo usan los router y firewall Cisco para enviar sus eventos al SIEM? A © 10s.©BGTER ES\SUERSEGURIDAD HTTPS... Tecnologias SIEM c ASDM. 5 a EventiD. = (https://campusformacionnebrija.imf.com/general/prt/org/curso.php?codcurso=C8212&btn=1) —_(https:/ v gq meouesta correcta Qué capacidad seré MENO: portante en un SIEM a la hora de detectar fraude interno? A © Ingesta de ICs. B Interfaz con sistema de orquestacién . C > Machine Learning . Dues sRespuesta correcta Dentro la base de datos SIEM, tenemos una tabla que se llama “acceso_log” que contiene las siguientes columnas: event_date, time, event (con los ID), user y type; y queremos obtener la fecha todos los eventos que han bloqueado cuentas de usuario. Qué consulta realizariamos? A SELECT event_date FROM acceso_log WHERE event=4725 B SELECT * FROM acceso_log WHERE event=4725, c SELECT event_date FROM acceso_log WHERE event=4624 D © SELECT * FROM acceso_log WHERE event=4624 respuesta correcta 2Qué relacién hay entre un log y un evento normalizado? A © Esel mismo concepto. B > Unlog es un evento parseado y normalizado. C © Unevento normalizado solo contiene la informacién relevante del log y el log es la informacién en bruto. D No ha relacién entre ambos. Respuesta incorrecta Quién debe gestionar los tickets generados por un SIEM sobre eventos o! infraestructura de la red? inados en la A © Eldepartamento de seguridad IT B > Eldepartamento de soporte TI. C Eldepartamento usuario correspondiente a la incidencia .wPsren ei flariczotdeloneuiar entredadeiniasructura de red a indice (ttre IRSRHBELRSPREIERSAcbrija.imf.com/general/ort/pra/curso,php2codcurso=CB212&btn=1) —_{https:/ A B c D vgoam> ‘l gs ellos no es un tipo de grafica que puede aparecer en un cuadro de mandos? nut Semaforo, Quesitos en 20. Perimetro, Respuesta correcta Una regla en SIEM Arcsight que suprime el lanzamiento de una alerta de uso compartido de una contrasefia cuando los dos usuarios que la comparten son un directivo y su asistente, es un ejemplo de: Regla Lightweight. Regla Prepersistence Regla Standard, Regla SingleWithSupress. qRespuesta correcta oom > 1 {Qué fabricante dentro de los comentados en el master, proporciona una solucién SIEM con capacidades para dar apoyo nativo al cumplimiento de PCI DSS? Splunk. ELK, ArcSight. Logaly. sRespuesta correcta 2Qué diferencia hay entre un evento correlado y agregado? Un evento correlado se convierte en agregado cuando se incorpora en el SIEM. Un evento agregado se convierte en correlado cuando se incorpora en el SIEM. Una alerta de correlacién es el producto de la correlacién de eventos y el evento agregado es un evento que aglutina varios eventos que comparten campos iguales y que han llegado en una ventana de tiempo definida, Un evento agregado es el producto de una alerta de correlacién y el evento correlado es un evento que aglutina varios eventos que comparten campos iguales y que han llegado en una ventana de tiempoMASTER ERNRFIBIABEGURIDAD (HTTPS... Tecnologias SIEM (neenafnpus SéGshneb A B c D A B c a jaimf.com/generallprtiprolcurso.php2codcurs emgs una tabla en la base de datos SIEM que se llama “log_IPS” que contiene las leNtes columnas: event_date, client_IP, server_IP, user_agent, code; y queremos obtener la lista de IP de usuarios sin agrupar que han accedido al servidor 120.110.226.35 el 13/07/2015. Qué consulta SQL realizarfamos? (https:/ SELECT client_IP FROM log_IPS WHERE server_IP=’120.110,226.35’ event_date= “13/07/2015 SELECT * FROM log_IPS WHERE server_I 20.110.226.35" event_date= ‘13/07/2015" SELECT client_IP FROM log_IPS WHERE server_IP="120.110.226.35’ AND event_date= ‘13/07/2015° SELECT * FROM log_IPS WHERE server_IP="120.110.226.35’ AND event_date= ’13/07/2015’ agRespuesta correcta zDe qué manera recolecta los logs un SIEM? En tiempo real mediante Syslog, SNMP, OPSEC, etc. De manera planificada mediante SFTP, SCP, BBDD, ete. Instalando un agente. Todas las anteriores, zgRespuesta correcta Dentro de la base de datos de SIEM, tenemos una tabla que se llama “log_IPS” que contiene las siguientes columnas: event_date, client_IP, server_IP,user_agent, code; y queremos obtener todos los registros ordenados por el code en orden descendente. ;Qué consulta realizariamos? ‘SELECT * FROM log_IP WHERE ORDER BY DESC code SELECT * FROM log_IP WHERE ORDER BY code DESC SELECT * FROM log_IP ORDER BY DESC code SELECT * FROM log_IP ORDER BY code DESC agrespuesta incorrecta Para correlacién de logs de aplicaciones distribuidas con registros médicos de los usuarios, zqué arquitectura SIEM seria mas apropiada? Alta disponibilidad y arquitectura "full stack on premises" Capa de almacenamiento cifrado en la nube y capa de correlacién "on premises". Capa de recoleccién "on premises" y alta disponibilidad para capa de correlacién en la nube.Rsrer Biapasrdecrenaiaocdimmpsl mackearoiegis: Gietibuidas y correlacién en ta nube Indice ja.imf.com/genera¥PAAs g/curso.php?codcurs: (https://campusformacionnebri @- IMF Smart Education Nebrija Copyright 2023 © ADR Infor SL. Logrofio Plataforma eLearning eLysa LMS