Guía de gestión de red: preguntas y respuestas sobre funcionalidades, modelos y estándares
1. 1. ¿Cuál de las siguientes funcionalidades NO es propia de una herramienta de Inteligencia de Amenazas, como MISP?
Gestión de Vulnerabilidades: Gestión de paches, Auditorías Técnicas e Inteligencia de Amenazas / MISP: Malware Information
Sharing Platform / Inteligencia de Amenazas: Compartición de Información
Selecciona una:
a. Explotar una vulnerabilidad relacionada con una amenaza
b. Modelar una amenaza
c. Importar/Exportar información de amenazas a un SIEM
d. Compartir una amenaza
2. Empareje cada modelo de gestión de red con su modelo de información asociado
▪ Modelo de Gestión de red Internet – INTERNET
▪ Modelo de Gestión de red OSI – ISO
▪ Modelo de Gestión de red WBEM – WEB
▪ Arquitectura TMN – ITU-T
Son Modelos de Gestión de Red, sus orígenes son: TMN – Gestión de las redes de telecomunicación, Gestión OSI – Gestión de la
torre de protocolos OSI, Gestión Internet – Gestión de routers y Gestión WBEM – Gestión basada en Web.
3. Un dork se refiere a:
Selecciona una:
a. Un tipo de búsqueda en Google
b. Un analizador de metadatos en ficheros
c. Una herramienta de hacking ético
d. Un elemento de STIX
4. La gestión de fallos debe tener como principal objetivo:
Selecciona una:
a. La detección de fallos
b. La prevención de fallos
c. El aislamiento de fallos
d. La resolución de fallos
5. Identifique el área que NO pertenece a la Operación de Ciberseguridad
Seleccione una:
a. Análisis de Malware
b. Configuración de cortafuegos
c. Análisis Forense
d. Monitorización de Ciberseguridad
6. El SIEM permite garantizar múltiple aspecto de cumplimiento normativo de la legislación aplicable a las organizaciones:
Seleccione una:
a. Verdadero
b. Falso
7. El área funcional que alimenta la información principal de las bases de datos que rigen el funcionamiento de un Centro de
Gestión de Red es:
Seleccione una:
a. Gestión de configuración
b. Gestión de fallos
c. Gestión de contabilidad
d. Gestión de prestaciones
8. Dentro del área de gestión de fallos, la gestión de pruebas preventivas:
Seleccione una:
a. Se debe realizar en paralelo a la provisión del servicio para detectar fallos en el mismo
b. Detectan posibles degradaciones del servicio debido a fallos que no se pueden detectar cuando se está
proporcionando el servicio
c. Se basa en la monitorización del traspaso de un umbral de un cierto parámetro
d. Detectan posibles degradaciones del servicio debido a configuraciones incorrectas
9. La realización de cambios en los distintos componentes de la red se corresponde al área funcional de:
Seleccione una:
a. Gestión de contabilidad
b. Gestión de configuración
2. c. Gestión de prestaciones
d. Gestión de fallos
10. Si hablamos de una monitorización basada en sondeo frente a una monitorización basada en notificaciones:
Seleccione una:
a. El sondeo incrementa el tráfico en la red
b. La notificación permite disminuir la complejidad de los equipos gestionados
c. Las notificaciones permiten reaccionar a la caída de un sistema
d. El sondeo libera de complejidad a los gestores
11. En el área de Gestión de Fallos, la correlación de eventos permitiría:
Seleccione una:
a. Almacenar los eventos recibidos en una base de datos para su posterior análisis
b. Detectar el fallo lo antes posible
c. Aplicar un filtro de umbral a los eventos recibidos para detectar problemas
d. Aislar adecuadamente la fuente de un fallo ante una tormenta de alarmas
12. Los objetivos del área de gestión de prestaciones incluyen:
Seleccione una:
a. Detectar desviaciones de la calidad de servicio proporcionada
b. Reconfigurar los equipos para disminuir la latencia
c. Las tres respuestas son correctas
d. Realizar pruebas de diagnóstico de los equipos y las comunicaciones
13. Parsear un log se refiere a:
Seleccione una:
a. Añadir información de contexto a los logs
b. Almacenar los logs en un repositorio centralizado
c. Centralizar los logs en un solo repositorio
d. Modificar el formato de los logs a otro distinto
14. En el área de gestión de configuración, necesitamos mantener una base de datos de SLAs para:
Seleccione una:
a. Conocer la calidad que hemos contratado en los servicios subcontratados y luego verificarla.
b. Conocer las distintas incidencias que nos llegan a nuestro Centro de Gestión de Red
c. Conocer y mantener el inventario de los elementos de nuestra organización
d. Conocer los distintos tipos de mantenimiento y garantía contratados para nuestros equipos.
15. La utilidad del modelo ITIL para el diseño de un SOC hace referencia a:
Seleccione una:
a. El correcto diseño de los procedimientos de funcionamiento de un centro de provisión de servicios
b. La organización de los recursos humanos de un SOC
c. Las herramientas que deben implantarse en un SOC
d. Las funcionalidades de ciberserguridad que debe incluir el SOC
16. En un modelo de gestión de red integrada, es necesario estandarizar:
Seleccione una:
a. Solo el protocolo de comunicaciones, un lenguaje para definir información de gestión y definiciones
específicas de información de gestión en dicho lenguaje
b. Solo el protocolo de comunicaciones, el nombre de los parámetros gestionados y sus valores
c. Solo el protocolo de comunicaciones y el lenguaje para definir información de gestión
d. Solo el protocolo de comunicaciones, que debe incluir como referenciar a los parámetros de gestión
17. Aislar un fallo se refiere a:
Seleccione una:
a. Detectar el fallo lo antes posible
b. Conocer la fuente exacta del fallo
c. Realizar un triaje del fallo
d. Dar un diagnostico preliminar de la causa del fallo
18. ¿Cuál de estos formatos NO es un formato de log?
Seleccione una:
a. CEF
b. XML
c. Syslog
3. d. JSON
19. La herramienta SHODAN permite buscar sobre:
Seleccione una:
a. Contenido de publicaciones en redes sociales de un usuario
b. Contenido de las páginas web de un determinado servidor web
c. Contenido audiovisual (videos, imágenes, etc.) disponibles en Internet
d. Dispositivos con servidores escuchando en determinados puertos
20. ¿Cuál de estas funciones NO es adecuada para maximizar la disponibilidad de los equipos?
Seleccione una:
a. Tener un equipo de repuesto en un armario
b. Minimizar los tiempos de respuesta de los servicios
c. Configurar sondeos de salud de los equipos desde el gestor
d. Tener un equipo de atención telefónica para los usuarios
21. Un servidor syslog permite
Seleccione una:
a. Invocar la generación de mensajes de log por parte de las aplicaciones
b. Correlar los logs para detectar anomalías
c. Parsear y homogeneizar los formatos de log
d. Centralizar la recogida de logs desde múltiples elementos
22. La realización de una auditoria técnica a una organización:
Seleccione una:
a. Se realiza siempre después de aplicar los parches en los sistemas
b. Es la condición para realizar las tareas de Inteligencia de Amenazas
c. Es una tarea peligrosa que debe realizarse solo a raíz de un incidente
d. Debe hacerse periódicamente de forma programada
23. Empareje cada estándar con su contenido
▪ CWE
▪ CVSS
▪ CVE
▪ CPE
24. El mantenimiento del directorio de usuarios de una organización:
Seleccione una:
a. No es una tarea técnica y es útil solo a nivel administrativo
b. Debe permitir la consulta remota a través de SMTP
c. Su integración con el resto de las bases de datos permite mejorar las funcionalidades de gestión de red.
d. Debe basarse en el estándar X.400
25. La definición de un CVE incluye:
Seleccione una:
a. La importancia de la vulnerabilidad
b. La descripción de la vulnerabilidad
c. El fallo software que explota la vulnerabilidad
d. El tipo de activo afectado por la vulnerabilidad
26. Las funcionalidades de Gestión se pueden implementar en un centro de gestión de red: No son comunes para cada
tecnología. / Son específicas de cada tecnología, herramientas y objetivos
27. Al tener un SIEM, ¿qué necesito para comenzar a monitorear? No necesito nada adicional, se puede enviar al servidor
OSSIM
28. Las funcionalidades del área de gestión de la contabilidad son necesarias si la organización debe imputar costes por el uso
de servicios: Falso
29. Un modelo de gestión de red integrada permite: Tener gestores más simples / Organizar los gestores de una
organización de acuerdo con las necesidades de la organización.
30. Si monto un dispositivo que monitoriza los dispositivos wifis a mi alrededor, y las horas de conexión y desconexión de cada
uno, estoy realizando inteligencia de tipo: SIGINT
1. Enumere y describa las fases de que constan las actividades de monitorización y control de redes de comunicaciones.
4 fases para la monitorización de una red:
1. Definición de la información de gestión que se monitoriza
2. Acceso a la información de monitorización
4. 3. Diseño de mecanismos de monitorización
4. Procesado de la información de monitorización
Control de Red: fases de definición y acceso
2. ¿Qué necesitamos estandarizar en un Modelo de Gestión Integrada?
1. Normalización de las comunicaciones: Es necesario especificar un protocolo entre elemento de red y centro de gestión
2. Normalización de la información: El centro de gestión debe conocer las propiedades de gestión de los elementos de red (Su
nombre / Formato de las respuestas) / Definición sintácticamente uniforme de los elementos de red
3. SNMP: Simple Network Management Protocol rfc 1157
a. SNMP - agosto 1988 Permite llegar al proceso de gestión de red del sistema remoto. Seguridad basada en la comunidad.
b. SNMPv2 - abril 1993 Permite pedir una respuesta tan larga como sea posible poner en la PDU de respuesta. Seguridad basada
en el grupo.
c. SNMPv3 - abril 1999 Se usa para descubrir parámetros de los agentes. Define la versión segura de SNMP. El protocolo SNMPv3
también facilita la configuración remota de las entidades SNMP. Seguridad basada en el usuario.
4. Describa los distintos niveles de un SOC
Centro de Operaciones de Ciberseguridad
L3 Ciberintelligence and Security Experts / Expertos en ciberinteligencia y seguridad
L3 SOC Governance / Gobernanza del SOC
L2 Proactive services and escalation / Servicios proactivos y escalada Gestión de clientes
L1 Technical Support / Soporte técnico
L0 Customer Frontend / Frontend del cliente Maintenance + "fieldd services” /
Mantenimiento + "servicios de campo"
Customer / Clientes
5. Describa las funcionalidades más comunes en el área de gestión de configuraciones. y el funcionamiento y objetivo de
cada una.
Gestión de configuraciones: información estática (inventario de la red)
▪ Gestión de Inventario: Herramientas de autodescubrimiento. / Base de Datos utilizable por el resto de las funciones.
▪ Gestión de Topología: Herramientas de auto topología. / Necesidad de distintas vistas topológicas.
▪ Gestión de Servicios de Directorio: Integración con el resto de las aplicaciones.
▪ Gestión de SLAs: Contrato entre cliente/proveedor o entre proveedores sobre servicios a proporcionar y calidades asociadas.
▪ Gestión de Incidencias: TTS (TroubleTicket Systems).
▪ Gestión de Proveedores Externos: Ordenes de procesamiento/aprovisionamiento
▪ Gestión de Cambios: Reconfiguraciones
6. Enumere los principales orígenes de los datos que alimenta un SIEM.
Security Information and Event Management: Almacenamiento de logs
▪ Registros de firewall
▪ Registros de filtrado web / proxy
▪ Otros productos de seguridad de red
▪ Sensores de red
▪ Autenticación de Windows e información de AD (Active Directory)
▪ Soluciones de seguridad para terminales
▪ Inteligencia sobre amenazas.
7. Describa para que se utiliza los siguientes estándares: CWE, CVE, CPE y CVSS.
Vulnerabilidades explotadas por el TTP de un ThreatActor. / Gestión de Vulnerabilidades
1. CWE: Common Weakness Enumeration. Tipos de debilidades de software / Catálogo de debilidades documentadas que se
pueden dar programando y dan lugar a vulnerabilidad
2. CVE: Common Vulnerabilities and Exposures. Estándar para describir una vulnerabilidad. Incluye: Identificador, Descripción y
Referencias.
3. CPE: Common Platform Enumeration. Identificación estandarizada de Sistemas operativos, Aplicaciones y Hardware.
4. CVSS: Common Vulnerability Scoring System. Estandarpara describir la severidad de una vulnerabilidad. Puntuación: basadas
en métricas.