27.4.2 Module 27:Questionnaire de l’utilisation des données de sécurité du reseau réponses
1. Lors de la réception de rapports d’événements de sécurité en temps réel en provenance de plusieurs sources, quelle fonction du modèle SIEM permet de capturer et de traiter les données dans un format commun?
- Collection de journaux
- Agrégation
- Normalisation
- Conformité
Explication: Le modèle SIEM combine des outils SEM et SIM pour fournir quelques fonctions utiles, dont la normalisation des données. Il s’agit d’un processus qui consiste à mapper les messages de journaux provenant de différents systèmes dans un modèle de données commun afin d’analyser les événements de sécurité associés, même s’ils étaient consignés initialement dans des formats sources différents.
2. Quelle est la valeur des hachages de fichiers pour les enquêtes de sécurité des réseaux ?
- Ils offrent la confidentialité.
- Ils peuvent servir de signatures de logiciels malveillants.
- Ils assurent la disponibilité des données.
- Ils assurent la non-répudiation.
Explication: Confidentialité, intégrité, disponibilité et non-répudiation des données sont autant d’éléments essentiels de la sécurité des données. L’utilisation d’algorithmes de chiffrement garantit la confidentialité des données en préservant la divulgation des informations à des personnes, à des processus ou à des appareils non autorisés. L’intégrité des données utilise des hachages ou un résumé de message pour garantir la non-altération des données. La disponibilité des données garantit un accès rapide et fiable aux données pour les utilisateurs autorisés, tandis que la non-répudiation est la capacité de prouver qu’une opération ou un événement a eu lieu et ne peut pas être répudié ultérieurement.
3. Quelle technologie est un système SIEM Open Source?
- Splunk
- Wireshark
- ELK
- StealthWatch
Explication: De nombreux systèmes SIEM sont disponibles pour les administrateurs réseau. La suite ELK est une solution Open Source.
4. Un administrateur réseau utilise ELK. Le volume de trafic réseau recueilli par les captures de paquets, ainsi que le nombre d’entrées de fichiers journaux et d’alertes générées par les appliances de sécurité et les périphériques réseau peuvent être énormes. Quelle est le temps par défaut configurée dans Kibana pour afficher les entrées du journal?
- 24 heures
- 48 heures
- 12 heures
- 36 heures
Explication: Logstash et Beats sont utilisés pour l’ingestion dans la pile ELK. Il donne l’accès à un grand nombre d’entrées de fichier journal. Le nombre de journaux qui peuvent être affichés est si important que Kibana, qui est l’interface visuelle dans les journaux, est configuré pour afficher les dernières 24 heures par défaut.
5. Dans quel langage de programmation Elasticsearch est-il écrit?
- Java
- Python
- C++
- C
Explication: Elasticsearch est un moteur de recherche d’entreprise multiplateforme écrit en Java.
6. Pendant combien de temps le Payment Card Industry Security Standards Council (PCI DSS) exige-t-il qu’une piste d’audit des activités des utilisateurs liées aux informations protégées soit conservée ?
- 6 mois
- 12 mois
- 18 mois
- 24 mois
Explication: Tout le monde aimerait la sécurité de la collecte et de l’enregistrement de tout, mais en raison de problèmes de stockage et d’accès, il n’est pas possible de conserver indéfiniment les données NSM. La période de rétention de certains types de données de sécurité du réseau est parfois régie par des règles de conformité. Le standard PCI-DSS (Payment Card Industry Data Security Standard) impose la rétention d’un historique des activités utilisateur liées à des informations protégées pendant un an.
7. Quel outil de détection des intrusions basé sur l’hôte est intégré dans Security Onion?
- OSSEC
- Snort
- Sguil
- Wireshark
Explication: OSSEC est un système de détection d’intrusion (HIDS) basé sur l’hôte qui est intégré dans SecurityOnion. Outre la surveillance de l’intégrité des fichiers, des journaux locaux et des processus système, il peut procéder à la détection des Rootkits.
8. Quel composant open source principal de la pile Elastic-Stack est responsable de l’accès, de la visualisation et de la recherche des données?
- Kibana
- Logstash
- Beats
- Elasticsearch
Explication: Les principaux composants open source de la pile Elastic-Stack sont Logstash, Beats, Elasticsearch et Kibana. Kibana est responsable de l’accès, de la visualisation et de l’investigation des données. Elasticsearch est responsable du stockage, de l’indexation et de l’analyse des données. Logstash et Beats sont responsables de l’acquisition des données réseau.
9. Quelle est l’heure par défaut définie dans le fichier securityonion.conf pour la conservation des données d’alerte Sguil?
- 15 jours
- 30 jours
- 45 jours
- 60 jours
Explication: les données des alertes Sguil sont conservées pendant 30 jours. Cette valeur est définie dans le fichier securityonion.conf.
10. Quel outil un analyste peut-il utiliser pour faire des recherches sur un workflow?
- Zeek
- Snort
- ELK
- Sguil
Explication: Sguil est une application pourvue d’une interface utilisateur graphique employée par les analystes en charge de la sécurité pour analyser les événements de sécurité du réseau.
11. Quel composant open source principal de la pile Elastic-Stack est responsable du stockage, de l’indexation et de l’analyse des données?
- Kibana
- Logstash
- Beats
- Elasticsearch
Explication: Les principaux composants open source de la pile Elastic-Stack sont Logstash, Beats, Elasticsearch et Kibana. Kibana est responsable de l’accès, de la visualisation et de l’investigation des données. Elasticsearch est responsable du stockage, de l’indexation et de l’analyse des données. Logstash et Beats sont responsables de l’acquisition des données réseau.
12. Quel outil concentre les événements de sécurité provenant de sources multiples et peut interagir avec d’autres outils tels que Wireshark?
- Bro
- Curator
- Sguil
- Kibana
Explication: Sguil est une application basée sur l’interface graphique utilisée par les analystes de sécurité pour analyser les données de session et les captures de paquets.