1. Quel outil de détection des intrusions basé sur l’hôte est intégré dans Security Onion?
- Sguil
- Wireshark
- Snort
- OSSEC
Explication: OSSEC est un système de détection d’intrusion (IDS) basé sur l’hôte qui est intégré dans Security Onion. Outre la surveillance de l’intégrité des fichiers, des journaux locaux et des processus système, il peut procéder à la détection des Rootkits.
2. Quel outil inclus dans Security Onion est utilisé par Snort pour télécharger automatiquement de nouvelles règles?
- PulledPork
- Wireshark
- ELK
- Sguil
Explication: PulledPork est un utilitaire de gestion de règles inclus dans Security Onion. Il permet de télécharger automatiquement de nouvelles règles pour Snort.
3. Quel outil inclus dans Security Onion est une interface interactive de tableau de bord pour les données Elasticsearch?
- Wireshark
- Kibana
- Sguil
- Zeek
Explication: Kibana est une interface interactive de tableau de bord pour les données Elasticsearch. Il permet d’interroger les données NSM et fournit des visualisations flexibles de ces données. Il fournit des fonctionnalités d’exploration de données et d’analyse de données d’apprentissage automatique.
4. Quel outil NIDS utilise une approche basée sur la signature et un multithreading natif pour la détection des alertes?
- Snort
- Zeek
- Bro
- Suricata
Explication: Suricata est un système de détection d’intrusion du réseau (NIDS) basé sur des signatures. Il utilise le multithreading natif, qui permet la distribution du traitement des flux de paquets entre plusieurs cœurs de processeur.
5. Quel outil est un système de détection des intrusions basé sur l’hôte intégré dans Security Onion?
- Wazuh
- Zeek
- Suricata
- Snort
Explication: Wazuh est un HID qui remplacera OSSEC dans Security Onion. Il s’agit d’une solution complète qui fournit un large éventail de mécanismes de protection des terminaux, notamment l’analyse des fichiers journaux de l’hôte, la surveillance de l’intégrité des fichiers, la détection des vulnérabilités, l’évaluation de la configuration et la réponse aux incidents.
6. Quels sont les trois outils d’analyse intégrés à Security Onion? (Choisissez trois propositions.)
- Wireshark
- Sguil
- Kibana
- OSSEC
- Suricata
- Snort
Explication: Selon l’architecture Security Onion, les outils d’analyse sont Sguil, Kibana et Wireshark.
7. Quelle fonction est fournie par Snort dans le cadre de Security Onion?
- pour générer des alertes d’intrusion sur le réseau à l’aide de règles et de signatures
- pour afficher les transcriptions pcap générées par les outils de détection d’intrusion
- pour normaliser les journaux de divers journaux de données NSM afin qu’ils puissent être représentés, stockés et accessibles via un schéma commun
- pour afficher les captures de paquets complets à des fins d’analyse
Explication: Snort est un NIDS intégré à Security Onion. Cette source importante de données d’alerte est indexée dans l’outil d’analyse Sguil. Snort utilise des règles et des signatures pour générer des alertes.
8. Quelle classification est utilisée pour une alerte qui détermine qu’un exploit a bien eu lieu?
- vrai négatif
- faux positif
- faux négatif
- vrai positif
Explication: Un vrai positif se produit lorsqu’une signature IDS et IPS est déclenchée correctement et une alarme est générée lorsque du trafic nuisible est détecté.
9. Quel type d’analyse s’appuie sur des conditions prédéfinies et permet d’analyser des applications qui utilisent uniquement des ports fixes réservés?
- probabiliste
- log
- déterministe
- statistiques
Explication: L’analyse déterministe utilise des conditions prédéfinies pour analyser les applications qui respectent des normes de spécification ; effectuer une analyse basée sur les ports, par exemple.
10. Quel type d’analyse repose sur différentes méthodes pour établir la probabilité qu’un événement lié à la sécurité s’est déjà produit ou va se produire?
- statistiques
- log
- déterministe
- probabiliste
Explication: Les méthodes probabilistes utilisent de puissants outils pour générer une réponse probabiliste à la suite de l’analyse d’applications.
11. Quelle classification des alertes indique que les exploits ne sont pas détectés par les systèmes de sécurité installés?
- vrai négatif
- faux négatif
- faux positif
- vrai positif
Explication: Une classification de type faux négatif indique qu’un système de sécurité n’a pas détecté un exploit réel.
12. Quel outil un analyste peut-il utiliser pour faire des recherches sur un workflow?
- Zeek
- ELK
- Snort
- Sguil
Explication: Sguil est une application pourvue d’une interface utilisateur graphique employée par les analystes en charge de la sécurité pour analyser les événements de sécurité du réseau.