Close Menu
Subscribe

2.3.2 Module 2 – Questionnaire des combattants de la guerre contre la cybercriminalité

Aucun commentaire Cyberops Associate

2.3.2 Module 2 – Questionnaire des combattants de la guerre contre la cybercriminalité réponses

1. Quel agent au sein d’un centre opérationnel de sécurité est chargé de vérifier si une alerte déclenchée par un logiciel de surveillance correspond réellement à un incident ?

  • Responsable du centre opérationnel de sécurité (SOC)
  • Opérateurs de niveau 1
  • Opérateurs de niveau 2
  • Opérateurs de niveau 3

Explication: Dans un centre opérationnel de sécurité, le travail d’un analyste de niveau 1 consiste notamment à contrôler les alertes entrantes et à vérifier qu’un incident s’est réellement produit.

2. Après la confirmation d’un incident au sein d’un centre opérationnel de sécurité, un gestionnaire des incidents l’examine, mais ne parvient pas à en identifier la source, ni à établir une procédure de traitement des menaces efficace. À qui le ticket d’incident doit-il être dégénéré ?

  • À un expert en vue d’un examen plus approfondi
  • À un analyste en cybersécurité pour assistance
  • À un analyste des alertes pour une analyse approfondie
  • Au responsable du centre opérationnel de sécurité pour demander l’affectation d’autres membres du personnel

Explication: Un gestionnaire des incidents est un professionnel de la sécurité de niveau 2 au sein d’un centre opérationnel de sécurité. Si ce gestionnaire n’est pas en mesure de résoudre le ticket d’incident, celui-ci doit être transmis au niveau de support supérieur (Niveau 3).Un expert de niveau 3 procédera alors à un examen plus approfondi.

3. Quels sont les deux services fournis par les centres opérationnels de sécurité ? Citez-en deux.

  • Contrôler les menaces pour la sécurité du réseau
  • Gérer les intrusions dans le data center
  • Fournir des connexions Internet sécurisées
  • Gérer des solutions complètes de lutte contre les menaces
  • Garantir des échanges sécurisés de paquets de routage

Explication: Les centres opérationnels de sécurité (SOC) peuvent fournir un large éventail de services pour protéger les systèmes d’information d’une entreprise contre les menaces. Ces services sont notamment le contrôle des menaces pour la sécurité du réseau et la gestion de solutions complètes pour lutter contre les menaces. Garantir des échanges de routage sécurisés et fournir des connexions Internet sécurisées sont des tâches qui relèvent généralement d’un centre d’exploitation du réseau (NOC). Les cas d’intrusion physique dans une installation sont généralement du ressort du service de police local.

4. Quelle mesure est utilisée dans les SOC pour évaluer le temps moyen nécessaire pour identifier les incidents de sécurité valides sur le réseau ?

  • Temps d’immobilisation
  • MTTC
  • MTTD
  • MTTR

Explication: Les SOC utilisent de nombreuses mesures comme indicateurs de performance du temps nécessaire au personnel pour localiser, arrêter et corriger les incidents de sécurité.

  • Durée de la visite
  • MTTD (Mean Time to Detect)
  • MTTR (Mean Time to Respond)
  • MTTC (Mean Time to Contain)
  • Temps de contrôle

5. Quelle mesure d’indicateur de performance clé SOAR utilise-t-elle pour mesurer la durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu’ils ne soient détectés et que l’accès des acteurs de menace soit arrêté ?

  • Temps d’immobilisation
  • MTTD
  • MTTR
  • MTTC

Explication: Les indicateurs de performance clés communs (KPI) compilés par les gestionnaires de SOC sont les suivants:

  • Temps d’immobilisation: durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu’ils ne soie nt détectés et que l’accès des acteurs de menace soit arrêté
  • MTTD (Mean Time to Detect): le temps moyen nécessaire au personnel du SOC pour identifier les incidents de sécurité valides se sont produits sur le réseau
  • MTTR (Mean Time to Respond): le temps moyen qu’il faut pour arrêter un incident de sécurité et y remédier
  • MTTC (Mean Time to Contain): le temps nécessaire pour empêcher l’incident de causer d’autres dommages aux systèmes ou aux données

6. Quel est le rôle du SIEM ?

  • Pour analyser les vulnérabilités du système d’exploitation et appliquer des correctifs de sécurité pour sécuriser les systèmes d’exploitation
  • SIEM prend en compte toutes les données générées par les pare-feu, les appliances réseau, les systèmes de détection d’intrusion et d’autres périphériques
  • Pour analyser tous les paquets réseau à la recherche de signatures de logiciels malveillants et mettre à jour la base de données des vulnérabilités
  • Analyser tous les paquets réseau pour détecter les signatures de logiciels malveillants et synchroniser les signatures avec les bases de données du gouvernement fédéral

Explication: Un système de gestion des informations et des événements de sécurité (SIEM) prend en compte toutes les données générées par les pare-feu, les appliances réseau, les systèmes de détection d’intrusion et d’autres périphériques. Les systèmes SIEM collectent et filtrent les données, détectent et classent les menaces, analysent et examinent les menaces. Les systèmes SIEM peuvent également gérer les ressources nécessaires pour mettre en œuvre des mesures préventives et faire face aux menaces futures.

7. Quelle est la caractéristique de la plateforme de sécurité SOAR ?

  • Pour fournir une interface conviviale qui utilise le langage de programmation Python pour gérer les menaces de sécurité
  • Interagir avec les sites de sécurité du gouvernement fédéral et mettre à jour toutes les plateformes de vulnérabilité
  • Pour inclure des playbooks prédéfinis qui permettent une réponse automatique à des menaces spécifiques
  • Pour fournir un moyen de synchroniser la base de données des vulnérabilités

Explication: Les plates-formes de sécurité SOAR offrent les fonctionnalités suivantes:

  • Recueillir les données d’alarme de chaque composant du système
  • Fournir des outils qui permettent de faire des recherches, d’évaluer et d’enquêter sur les cas
  • Mettre l’accent sur l’intégration comme moyen d’automatiser les workflows complexes de réponse aux incidents qui permettent une intervention plus rapide et des stratégies de défense adaptatives
  • Inclure des playbooks prédéfinis qui permettent une réponse automatique à des menaces spécifiques

8. Un professionnel de la sécurité du réseau a posé sa candidature à un poste de niveau 2 au sein d’un centre opérationnel de la sécurité. Quelle fonction est généralement attribuée à un nouvel employé ?

  • Faire des recherches approfondies sur les incidents de sécurité
  • Servir de point de contact pour un client
  • Faire la chasse aux menaces de sécurité potentielles et implémenter des outils de détection des menaces
  • Surveiller les alertes entrantes et s’assurer qu’un incident s’est réellement produit

Explication: Dans un centre opérationnel de la sécurité classique, le rôle d’un gestionnaire des incidents de niveau 2 consiste notamment à faire des recherches approfondies sur les incidents.

9. Si un centre opérationnel de sécurité a un objectif de disponibilité de 99.99%, combien de minutes d’indisponibilité par an sont tolérées ?

  • 48.25
  • 50.38
  • 52.56
  • 60.56

Explication: Une année compte 365 jours x 24 heures x 60 minutes = 525,600 minutes. Avec un objectif de disponibilité de 99,999%, le temps d’arrêt ne peut pas dépasser 525,600x(1-0,99999)= 5,256 minutes par an.

10. Quel organisme propose la certification CSA+ indépendante du fournisseur ?

  • IEEE
  • GIAC
  • (ISC)²
  • CompTIA

Explication: CSA+ (CompTIA Cybersecurity Analyst) est une certification professionnelle en matière de sécurité indépendante du fournisseur.

11. Dans le cadre de l’exploitation d’un centre opérationnel de sécurité, quel système est fréquemment utilisé pour permettre à un analyste de sélectionner des alertes dans un pool en vue de faire des recherches ?

  • Serveur Syslog
  • Système de gestion des incidents
  • Système d’inscription
  • Système de base de connaissances sur les alertes de sécurité

Explication: Dans un centre opérationnel de sécurité (SOC), un système de gestion des incidents est généralement utilisé comme système de gestion du workflow.

12. Comment un système de gestion des événements et des informations liés à la sécurité peut-il être utilisé au sein d’un centre opérationnel de sécurité pour aider le personnel à lutter contre les menaces pour la sécurité ?

  • En filtrant le trafic réseau
  • En collectant et en filtrant les données
  • En authentifiant les utilisateurs auprès de ressources réseau
  • En chiffrant les communications vers des sites distants

Explication: Un système de gestion des événements et des informations liés à la sécurité (SIEM) combine les données provenant de plusieurs sources pour aider le personnel du centre opérationnel de sécurité à recueillir et à filtrer les données, à détecter et à classer les menaces, à analyser et à enquêter sur les menaces et à gérer les ressources pour prendre des mesures préventives.

13. Quelles sont les trois technologies que devrait intégrer le système de gestion des événements et des informations liés à la sécurité d’un centre opérationnel de sécurité ? Citez-en trois.

  • Connexion VPN
  • Pare-feu
  • Informations sur les menaces
  • Surveillance de la sécurité
  • Prévention des intrusions
  • Suivi des vulnérabilités

Explication: Un centre opérationnel de sécurité doit intégrer les technologies suivantes:

  • Collecte d’événements, corrélation et analyse
  • Surveillance de la sécurité
  • Contrôle de la sécurité
  • Gestion des événements
  • Évaluation de vulnérabilité
  • Suivi des vulnérabilités
  • Une base d’informations sur les menaces

Les applications de pare-feu, les réseaux privés virtuels (VPN) et les systèmes de protection contre les intrusions sont des périphériques de sécurité déployés dans l’infrastructure réseau.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires