Close Menu
Subscribe

Examen Pratique Final de CyberOps Associate 1.0 réponses

Updated:Aucun commentaire Cyberops Associate

Examen Pratique Final de CyberOps Associate 1.0 réponses Français

1. Un technicien configure le courrier électronique sur un appareil mobile. L’utilisateur souhaite conserver ses messages électroniques d’origine sur le serveur, les organiser en dossiers et synchroniser les dossiers entre l’appareil mobile et le serveur. Quel protocole de messagerie le technicien doit-il utiliser ?

  • POP3
  • IMAP
  • SMTP
  • MIME

Explication: Le protocole IMAP permet de synchroniser les données de messagerie entre un client et un serveur. Les modifications effectuées à un emplacement, par exemple le fait de marquer un message électronique comme ayant été lu, sont automatiquement appliquées à l’autre emplacement. Le protocole POP3 est également un protocole de messagerie. Toutefois, il ne synchronise pas les données entre le client et le serveur. Le protocole SMTP est utilisé pour l’envoi de messages électroniques, généralement en conjonction avec le protocole POP3. Le protocole MIME est une norme de messagerie utilisée pour la définition des types de pièces jointes. Il permet également de joindre du contenu supplémentaire, comme des images et des documents, aux messages électroniques.

2. Quels sont les deux problèmes qui peuvent être causés par un grand nombre de requêtes ARP et de messages de réponse? (Choisissez deux réponses.)

  • Tous les messages de requête ARP doivent être traités par tous les nœuds du réseau local.
  • Un grand nombre de messages de requête et de réponse ARP peuvent ralentir le processus de commutation, ce qui conduit le commutateur à apporter de nombreuses modifications dans sa table MAC.
  • Le réseau peut être saturé car les messages de réponse ARP ont une charge utile très importante grâce à l’adresse MAC de 48 bits et à l’adresse IP de 32 bits qu’ils contiennent.
  • Les commutateurs sont surchargés car ils concentrent tout le trafic des sous-réseaux connectés.
  • La requête ARP est envoyée en tant que diffusion et inondera l’ensemble du sous-réseau.

Explication: Les requêtes ARP sont envoyées sous forme de diffusion :
(1) Tous les nœuds les reçoivent et elles sont traitées par un logiciel qui interrompt le CPU.
( 2) Le commutateur transmet les diffusions de couche 2 à tous les ports.

Un commutateur ne modifie pas sa table MAC selon les messages de requête ou de réponse ARP. Le commutateur remplit la table MAC en utilisant l’adresse MAC source de toutes les trames. La charge utile de l’ARP est très faible et ne surcharge pas le commutateur.

3. Si la passerelle par défaut est mal configurée sur l’hôte, quel en est l’impact sur les communications ?

  • L’hôte peut communiquer avec les hôtes du réseau local, mais n’est pas en mesure de le faire avec ceux des réseaux distants.
  • L’hôte peut communiquer avec les hôtes de réseaux distants, mais n’est pas en mesure de le faire avec ceux du réseau local.
  • L’hôte n’est pas en mesure de communiquer sur le réseau local.
  • Cela n’influe en rien sur les communications.

Explication: Une passerelle par défaut est nécessaire uniquement pour communiquer avec d’autres périphériques sur un autre réseau. L’absence de passerelle par défaut n’a pas d’incidence sur la connectivité entre les périphériques d’un même réseau local.

4. Quels sont les deux messages ICMPv6 qui ne sont pas présents dans ICMP pour IPv4? (Choisissez deux réponses.)

  • Redirection de la route
  • Dépassement du délai
  • Annonce de routeur
  • Destination injoignable
  • Sollicitation de voisin
  • Confirmation de l’hôte

Explication: ICMPv6 inclut quatre nouveaux types de message: Annonce de routeur, Annonce du voisin, Sollicitation du routeur et Sollicitation du voisin.

5. Suite à des plaintes des utilisateurs, un technicien remarque que le serveur Web de l’établissement universitaire est très lent. Une vérification révèle un nombre anormalement élevé de requêtes TCP émanant de divers endroits sur Internet. Quelle peut être l’origine du problème ?

  • Il y a un virus sur le serveur
  • Une attaque DDoS est en cours
  • Une attaque par rejeu (replay attack) est en cours
  • La bande passante est insuffisante pour se connecter au serveur

Explication: Il ne peut pas s’agir d’un virus dans ce cas, parce que le serveur est passif et il se situe en bout de chaîne. Une attaque par rejeu (ou « replay attack » en anglais) exploite les données interceptées et enregistrées pour tenter d’accéder à un serveur non autorisé. Ce type d’attaque n’implique pas autant d’ordinateurs.  Le problème n’est pas lié à la bande passante disponible, mais au nombre de connexions TCP établies. Le fait de recevoir un grand nombre de connexions de divers emplacements est le principal symptôme d’une attaque par déni de service distribué (DDoS) qui utilise de nombreux ordinateurs contaminés, appelés des zombies ou des botnets.

6. Quelle est la notation de longueur du préfixe pour le masque de sous-réseau 255.255.255.224 ?

  • /27
  • /25
  • /28
  • /26

Explication: Le format binaire de 255.255.255.224 est 11111111.11111111.11111111.11100000. La longueur de préfixe correspond au nombre de 1 consécutifs dans le masque de sous-réseau. La longueur du préfixe est donc /27.

7. Associez les étapes aux actions utilisées lorsqu’un hôte interne dont l’adresse IP est 192.168.10.10 tente d’envoyer un paquet à un serveur externe dont l’adresse IP est 209.165.200.254 via un routeur R1 exécutant la NAT dynamique.

Explication:

Étape 1 L’hôte envoie les paquets demandant la connexion au serveur à l’adresse 209.165.200.254.
Étape 2 R1 vérifie la configuration NAT pour déterminer si ce paquet doit être traduit.
Étape 3 S’il n’existe aucune entrée de traduction pour cette adresse IP, R1 détermine que l’adresse source 192.168.10.10 doit être traduite.
Étape 4 R1 sélectionne une adresse globale disponible dans le pool d’adresses dynamiques.
Étape 5 R1 remplace l’adresse 192.168.10.10 par une adresse globale interne traduite.

8. Quelle instruction décrit une stratégie de sécurité typique pour une configuration de pare-feu DMZ?

  • Le trafic provenant de l’interface DMZ est autorisé de manière sélective à l’interface externe.
  • Le trafic provenant de l’interface externe est autorisé à traverser le pare-feu vers l’interface interne avec peu ou pas de restrictions.
  • Le trafic de retour de l’intérieur associé au trafic provenant de l’extérieur est autorisé à traverser de l’interface interne à l’interface externe.
  • Le trafic de retour de l’extérieur associé au trafic en provenance de l’intérieur est autorisé à passer de l’interface extérieure à l’interface DMZ.
  • Le trafic provenant de l’interface interne est généralement bloqué entièrement ou de manière très sélective à l’interface externe.

Explication: Avec une conception de pare-feu à trois interfaces avec des connexions internes, externes et DMZ, les configurations typiques comprennent les suivantes:

  • Le trafic en provenance de DMZ destiné au réseau interne est normalement bloqué.
  • Le trafic en provenance de la zone démilitarisée destinée à des réseaux externes est généralement autorisé en fonction des services utilisés dans la zone démilitarisée.
  • Le trafic en provenance du réseau interne à destination de la zone démilitarisée est normalement inspecté et autorisé à revenir.
  • Le trafic provenant de réseaux externes (le réseau public) est généralement autorisé dans la zone démilitarisée uniquement pour des services spécifiques.

9. Quels sont les deux principaux composants d’une infrastructure à clé publique (PKI) utilisés pour la sécurité du réseau ? (Choisissez deux réponses.)

  • Autorité de certification
  • Certificats numériques
  • Algorithmes de chiffrement symétrique
  • IPS
  • Génération de clés prépartagées

Explication: Une infrastructure à clés publiques utilise des certificats numériques et des autorités de certification (AC) pour gérer la distribution asymétrique des clés. Les certificats PKI sont des informations publiques. L’autorité de certification (CA) PKI est un tiers de confiance qui délivre le certificat. L’AC dispose de son propre certificat (certificat autosigné) contenant sa propre clé publique.

10. Quelle est la caractéristique du DNS?

  • Les serveurs DNS sont programmés pour supprimer les demandes de traductions de noms qui ne se trouvent pas dans leur zone.
  • Tous les serveurs DNS doivent gérer les mappages pour l’ensemble de la structure DNS.
  • Le DNS repose sur une topologie de concentrateur et de rayons avec des serveurs centralisés.
  • Les serveurs DNS peuvent mettre en cache les requêtes récentes afin de réduire le trafic des requêtes DNS.

Explication: DNS utilise une hiérarchie pour les serveurs décentralisés pour effectuer la résolution de noms. Les serveurs DNS conservent uniquement les enregistrements de leur zone et peuvent mettre en cache les requêtes récentes afin que les requêtes futures ne produisent pas de trafic DNS excessif.

11. Quel type de message est envoyé par un client DHCPv4 demandant une adresse IP?

  • Message de monodiffusion DHCPOFFER
  • Message de diffusion DHCPDISCOVER
  • Message de monodiffusion DHCPACK
  • Message de monodiffusion DHCPDISCOVER

Explication: Lorsque le client DHCPv4 demande une adresse IP, il envoie un message de diffusion DHCPDISCOVER demandant un serveur DHCPv4 sur le réseau.

12. Quelles sont les deux caractéristiques communes de l’IDS et de l’IPS? (Choisissez deux réponses.)

  • Les deux ont un impact minime sur les performances du réseau.
  • Les deux utilisent des signatures pour détecter le trafic malveillant.
  • Tous deux reposent sur un périphérique réseau supplémentaire pour répondre au trafic malveillant.
  • Les deux solutions sont déployées comme des capteurs.
  • Les deux analysent des copies du trafic réseau.

Explication: L’IDS et l’IPS sont déployés en tant que capteurs et utilisent des signatures pour détecter le trafic malveillant. L’IDS analyse les copies du trafic réseau, ce qui entraîne un impact minimal sur les performances du réseau. L’IDS s’appuie également sur un IPS pour arrêter le trafic malveillant.

13. Associez la technique de sécurité du réseau à la façon dont elle est utilisée pour tester la sécurité du réseau.

Explication:

analyse de réseau pour détecter les ressources disponibles sur le réseau
test de pénétration pour déterminer les conséquences possibles d’attaques réussies sur le réseau
analyse de vulnérabilité pour trouver les faiblesses et les erreurs de configuration sur les systèmes de réseau

14. Un administrateur réseau configure un serveur AAA pour gérer l’authentification TACACS+. Quels sont les deux attributs de l’authentification TACACS+? (Choisissez deux réponses.)

  • Chiffrement de toutes les communications
  • Port TCP 40
  • Processus d’authentification et d’autorisation unique
  • Port UDP 1645
  • Processus d’authentification et d’autorisation séparés
  • Cryptage uniquement pour le mot de passe d’un utilisateur

Explication: L’authentification TACACS+ comprend les attributs suivants:

  • Processus d’authentification et d’autorisation séparés
  • Chiffre toutes les communications, pas seulement les mots de passe
  • Utilisation du port TCP 49

15. Quel mécanisme TCP est utilisé pour empêcher l’encombrement des réseaux ?

  • fenêtre glissante
  • connexion en trois étapes
  • Une paire d’interfaces de connexion
  • échange en deux étapes

Explication: Le protocole TCP utilise des fenêtres pour maintenir le plus haut débit de transmission possible sur le réseau et le périphérique de destination, tout en réduisant la perte et les retransmissions de données. Si elle est saturée de données, la destination peut envoyer une demande pour réduire la taille de fenêtre. Le glissement de fenêtre est le mécanisme utilisé pour empêcher l’encombrement des réseaux.

16. Quels sont les deux énoncés qui décrivent une attaque d’accès ? Citez-en deux.

  • Dans les attaques par exploitation de la confiance, un ordinateur portable est généralement utilisé comme point d’accès non autorisé pour capturer et copier tout le trafic réseau dans un lieu public ; un point d’accès sans fil, par exemple.
  • Les attaques de redirection de port utilisent une carte réseau en mode de proximité pour capturer tous les paquets envoyés sur un réseau local.
  • Les attaques de type Buffer Overflow écrivent des données au-delà de la mémoire tampon allouée afin d’écraser des données valides ou d’exploiter des systèmes pour exécuter du code malveillant.
  • Les attaques de mot de passe peuvent être implémentées en utilisant des méthodes d’attaque par force brute, des chevaux de Troie ou des renifleurs de paquets.
  • Pour détecter des services d’écoute, les attaques par balayage de ports analysent une plage de numéros de port TCP et UDP sur un hôte.

Explication: Une attaque d’accès tente d’accéder à une ressource à l’aide d’un compte piraté ou d’une autre méthode. Voici les cinq types d’attaques d’accès :

  • mot de passe : un dictionnaire est utilisé pour les tentatives de connexion répétées
  • exploitation de la confiance : utilise des privilèges octroyés pour accéder au matériel non autorisé
  • redirection de port : utilise un hôte interne compromis pour transmettre le trafic via un pare-feu
  • man-in-the-middle (l’homme du milieu) : un appareil non autorisé est positionné entre deux appareils légitimes afin de rediriger ou de capturer le trafic
  • dépassement de la mémoire tampon : un trop grand nombre de données envoyées à un emplacement de mémoire qui contient déjà des données

17. Pourquoi DHCP est-il privilégié sur les grands réseaux ?

  • Il est plus efficace dans la gestion des adresses IP que l’adressage statique.
  • Il empêche le partage de fichiers protégés par des droits d’auteur.
  • Les grands réseaux envoient davantage de requêtes pour la traduction de noms de domaine en adresses IP que les petits réseaux.
  • Les hôtes sur de grands réseaux ont besoin de plus de paramètres pour la configuration de l’adressage IP que ceux sur de petits réseaux.
  • DHCP utilise un protocole de couche transport fiable.

Explication: L’adressage IP statique nécessite du personnel pour configurer chaque hôte manuellement. Les grands réseaux évoluent en permanence et ont beaucoup plus d’hôtes à configurer que les petits réseaux. Sur les grands réseaux, DCHP permet de configurer et de gérer les adresses IP plus efficacement que ne le fait l’adressage statique.

18. Lorsqu’un protocole sans connexion est utilisé sur une couche inférieure du modèle OSI, comment les données manquantes sont-elles détectées et retransmises le cas échéant ?

  • Le processus de remise « best-effort » (au mieux) garantit que tous les paquets envoyés sont reçus.
  • Les protocoles IP de la couche réseau gèrent les sessions de communication si aucun service de transport avec connexion n’est disponible.
  • Les protocoles avec connexion de la couche supérieure permettent de suivre les données reçues et peuvent demander la retransmission depuis des protocoles de plus haut niveau sur l’hôte émetteur.
  • Des accusés de réception sans connexion sont utilisés pour demander une retransmission.

Explication: Si des protocoles sans connexion sont utilisés sur une couche inférieure du modèle OSI, des protocoles de niveau supérieur peuvent intervenir sur les hôtes émetteurs et récepteurs pour identifier et retransmettre les données perdues. Toutefois, cela n’est pas toujours nécessaire. En effet, pour certaines applications, la perte de données est acceptable dans une certaine proportion.

19. Quelles sont les deux actions qui peuvent être effectuées lors de la configuration du Pare-feu Windows? (Choisissez deux réponses.)

  • Activer l’authentification par l’adresse MAC
  • Autoriser un pare-feu logiciel différent à contrôler l’accès.
  • Effectuer une annulation.
  • Activez le contrôle des ports.
  • Ouvrez manuellement les ports requis pour des applications spécifiques.

Explication: Lorsqu’un pare-feu logiciel différent est installé, le pare-feu Windows doit être désactivé via le panneau de configuration du pare-feu Windows. Lorsque le Pare-feu Windows est activé, des ports spécifiques qui sont nécessaires à des applications spécifiques peuvent être activés.

20. Quel protocole la commande traceroute utilise-t-elle pour envoyer et recevoir des requêtes et des réponses d’écho ?

  • SNMP
  • Telnet
  • TCP
  • ICMP

Explication: La commande traceroute utilise le protocole ICMP pour envoyer et recevoir des requêtes et des réponses d’écho.

21. En quoi consiste Internet ?

  • C’est un réseau privé d’entreprise qui comporte des connexions LAN et WAN.
  • Il fournit des connexions via des réseaux interconnectés à l’échelle mondiale.
  • Il fournit un accès réseau aux appareils mobiles.
  • C’est un réseau basé sur la technologie Ethernet.

Explication: Internet fournit des connexions à l’échelle mondiale pour permettre une communication entre les équipements en réseau (postes de travail et terminaux mobiles) utilisant différentes technologies réseau, telles que des connexions Ethernet, DSL/câble et série. Un réseau privé d’entreprise qui comporte des connexions LAN et WAN est un intranet.

22. Quel est l’objectif le plus courant de l’empoisonnement de l’optimisation pour les moteurs de recherche (SEO) ?

  • saturer un périphérique réseau avec des paquets créés de façon malveillante
  • créer un réseau de zombies
  • tromper quelqu’un pour l’amener à installer un programme malveillant ou à divulguer des données personnelles
  • accroître le trafic web vers des sites malveillants

Explication: Un utilisateur malveillant peut créer un SEO afin qu’un site Web malveillant apparaisse plus haut dans des résultats de recherche. Le site Web malveillant contient généralement un programme malveillant ou est utilisé pour obtenir des informations grâce à des techniques de piratage psychologique.

23. Faites correspondre les intitulés de poste aux personnels du centre opérationnel de sécurité.

Explication:

Analyste des alertes de niveau 1 surveille les alertes entrantes et s’assure qu’un incident s’est réellement produit
Gestionnaire des incidents de niveau 2 participe à une enquête approfondie au niveau des incidents
Expert de niveau 3 participe à la chasse aux menaces potentielles et implémente des outils de détection des menaces

24. En quoi un système de gestion des événements et des informations liés à la sécurité (SIEM) peut-il aider le personnel d’un centre opérationnel de sécurité à lutter contre les menaces pour la sécurité ?

  • En combinant des données provenant de plusieurs technologies
  • En analysant des données d’enregistrement en temps réel
  • En intégrant tous les dispositifs et appliances de sécurité dans une entreprise
  • En implémentant de manière dynamique des règles de pare-feu

Explication: Un système de gestion des événements et des informations liés à la sécurité (SIEM) combine les données provenant de plusieurs sources pour aider le personnel du centre opérationnel de sécurité à recueillir et à filtrer les données, à détecter et à classer les menaces, à analyser et à enquêter sur les menaces et à gérer les ressources pour prendre des mesures préventives.

25. Quel outil de surveillance de réseau enregistre des trames réseau capturées dans des fichiers PCAP ?

  • SIEM
  • NetFlow
  • SNMP
  • Wireshark

Explication: Wireshark est un analyseur de protocole réseau utilisé pour capturer le trafic réseau. Le trafic capturé par Wireshark est enregistré dans des fichiers PCAP et inclut des informations sur l’interface et les horodatages.

26. Quel outil de surveillance de réseau appartient à la catégorie des analyseurs de protocole réseau ?

  • Wireshark
  • SNMP
  • SPAN
  • SIEM

Explication: Wireshark est un analyseur de protocole réseau utilisé pour capturer le trafic réseau. Le trafic capturé par Wireshark est enregistré dans des fichiers PCAP et inclut des informations sur l’interface et les horodatages.

27. Citez deux outils de surveillance qui capturent le trafic réseau et le transmet à des dispositifs de surveillance du réseau. Citez-en deux.

  • Wireshark
  • Système de surveillance du réseau
  • SNMP
  • SPAN
  • SIEM

Explication: Un système de surveillance du réseau est utilisé pour capturer le trafic afin de surveiller le réseau. Il s’agit généralement d’un répartiteur passif implémenté en ligne sur le réseau et qui transmet tout le trafic, y compris les erreurs de la couche physique, à un périphérique d’analyse. SPAN est une technologie de mise en miroir du port prise en charge sur les commutateurs Cisco, qui leur permet de copier des trames et de les transmettre à un périphérique d’analyse.

28. Citez trois algorithmes conçus pour générer et vérifier des signatures numériques. Citez-en trois.

  • Protocole IKE
  • DSA
  • 3DES
  • ECDSA
  • AES
  • RSA

Explication: Trois algorithmes DSS (Digital Signature Standard) sont utilisés pour générer et vérifier les signatures numériques :

  • Algorithme DSA (Digital Signature Algorithm)
  • Algorithme RSA (Rivest-Shamir Adelman Algorithm)
  • Algorithme ECDSA (Elliptic Curve Digital Signature Algorithm)

29. Un routeur a reçu un paquet destiné à un réseau qui ne figure pas dans la table de routage. Quelles étapes le routeur effectue-t-il pour envoyer ce paquet sur son chemin. Faites correspondre l’étape à la tâche effectuée par le routeur.

Explication:

Il désencapsule l’en-tête et la fin de trame de la couche 2 pour exposer le paquet de la couche 3. Étape 1
Il examine l’adresse IP de destination pour trouver le meilleur chemin dans la table de routage. Étape 2
Il encapsule le paquet de couche 3 dans une nouvelle trame de couche 2 et transfère la trame à l’interface de sortie. Étape 3

30. Quel énoncé décrit l’état des comptes administrateur et invité après qu’un utilisateur a installé la version de Windows pour ordinateur de bureau sur un nouvel ordinateur ?

  • Par défaut, le compte invité est activé, mais le compte administrateur est désactivé.
  • Par défaut, les comptes administrateur et invité sont tous deux désactivés.
  • Par défaut, le compte administrateur est activé, mais le compte invité est désactivé.
  • Par défaut, les comptes administrateur et invité sont tous deux activés.

Explication: Lorsqu’un utilisateur installe la version de Windows pour ordinateur de bureau, deux comptes utilisateur locaux sont créés automatiquement : administrateur et invité. Tous deux sont désactivés par défaut.

31. À quelle fin un utilisateur peut-il exécuter la commande nslookup cisco.com sur un ordinateur Windows?

  • pour découvrir le temps de transmission nécessaire pour atteindre le serveur Cisco
  • pour vérifier si le service DNS est en cours d’exécution
  • pour se connecter au serveur Cisco
  • pour tester si le serveur Cisco est accessible

Explication: La commande nslookup interroge les serveurs DNS pour connaître l’adresse IP ou les adresses associées au nom de domaine cisco.com. Un résultat réussi indique que la configuration DNS sur le PC est fonctionnelle et indique également l’adresse IP du nom de domaine affiché. La commande n’essaie pas de se connecter directement à l’hôte Cisco réel.

32. Sur la base de la sortie de commande affichée, quelle(s) permission(s) de fichiers a (ont) été attribuée(s) à l’autre groupe d’utilisateurs pour le fichier data.txt ?

ls –l data.txt
-rwxrw-r-- sales staff 1028 May 28 15:50 data.txt
  • lecture, écriture
  • lecture
  • accès complet
  • lecture, écriture et exécution

Explication: Les autorisations de fichier sont toujours affichées dans l’ordre Utilisateur, Groupe et Autre. Dans l’exemple affiché ici, le fichier dispose des autorisations suivantes :

  • Le tiret () signifie qu’il s’agit d’un fichier. Pour les répertoires, le premier tiret est remplacé par un « d ».
  • Le premier jeu de caractères correspond à l’autorisation utilisateur (rwx). L’utilisateur propriétaire du fichier (sales) peut lire le fichier, l’écrire et l’exécuter.
  • Le second jeu de caractères s’applique aux autorisations de groupe (rw-). Le groupe qui détient le fichier (staff) peut lire et écrire le fichier.
  • Le troisième jeu de caractères correspond aux autres autorisations utilisateur ou de groupe (r–). Pour tout autre utilisateur ou groupe du système, le fichier n’est accessible qu’en lecture.

33. Quelle section d’une stratégie de sécurité est utilisée pour spécifier que seules les personnes autorisées ont accès aux données de l’entreprise ?

  • Déclaration d’autorité
  • Stratégie d’accès Internet
  • Stratégie d’accès sur campus
  • Politique d’identification et d’authentification
  • Champ d’application
  • Politique d’utilisation acceptable

Explication: C’est généralement la politique d’identification et d’authentification de la stratégie de sécurité qui détermine les personnes autorisées à accéder aux ressource réseau et à identifier les procédures de vérification d’identité.

34. Associez la description à l’approche antimalware.

Explication:

identification des caractéristiques générales partagées par divers types de malwares Approche heuristique
analyse des activités suspectes Basée sur le comportement
identification des diverses caractéristiques des fichiers malveillants connus Basée sur la signature

35. Quel énoncé décrit l’approche de détection des intrusions basée sur les anomalies ?

  • Elle compare les signatures du trafic entrant avec les entrées d’une base de données d’intrusions connues.
  • Elle compare les opérations d’un hôte par rapport à une stratégie de sécurité bien définie.
  • Elle compare le comportement d’un hôte à une référence de base afin d’identifier d’éventuelles intrusions.
  • Elle compare le fichier de définition antivirus à un référentiel basé sur le cloud pour déterminer les mises à jour les plus récentes.

Explication: Avec l’approche de détection des intrusions basée sur les anomalies, un ensemble de comportements de référence est défini en premier lieu. Le comportement de l’hôte est comparé à cet ensemble de référence afin de détecter des écarts importants qui peuvent être interprétés comme une intrusion.

36. Quels trois éléments d’information se trouvent dans les données de session? (Choisissez trois propositions.)

  • Les adresses IP source et de destination
  • Les adresses MAC de source et de destination
  • Nom d’utilisateur
  • Le numéro du port de la source et de la destination
  • Adresse IP de la passerelle par défaut
  • Protocole de couche transport

Explication: Les données de session contiennent des informations d’identification telles que le quintuple comprenant les adresses IP source et destination, les numéros de port source et destination et le code IP pour le protocole en cours d’utilisation. Les données de session n’incluent pas le nom d’utilisateur, les adresses MAC source et de destination, ni une adresse IP de passerelle par défaut.

37. Comment les informaticiens d’une entreprise gèrent-ils les cybermenaces basées sur le protocole DNS ?

  • Ils limitent le nombre de requêtes DNS autorisées au sein de l’entreprise.
  • Ils surveillent les journaux du serveur proxy à la recherche de requêtes DNS inhabituelles.
  • Ils utilisent des systèmes IPS/IDS pour analyser le trafic interne de l’entreprise.
  • Ils limitent le nombre de navigateurs ou d’onglets de navigation ouverts simultanément.

Explication: Les requêtes DNS relatives à des noms de domaine générés de manière aléatoire ou des sous-domaines DNS extrêmement longs s’affichant au hasard doivent être considérées comme suspectes. Les cyberanalystes peuvent procéder comme suit pour contrer les attaques DNS :

  • Analyser les journaux DNS.
  • Utiliser un service DNS passif pour bloquer les requêtes vers des domaines d’exploit et C&C présumés.

38. Quels sont les deux éléments qui forment la valeur PRI d’un message syslog ? Citez-en deux.

  • horodatage
  • gravité
  • établissement
  • hostname
  • en-tête

Explication: La valeur PRI d’un message syslog contient deux éléments : le site et la gravité du message.

39. En quoi l’utilisation du protocole HTTPS complique-t-elle la surveillance de la sécurité du réseau ?

  • Le protocole HTTPS peut être utilisé pour infiltrer des requêtes DNS.
  • Le protocole HTTPS ne peut pas protéger les visiteurs d’un site web fourni par l’entreprise.
  • Le protocole HTTPS rend plus complexes les paquets capturés.
  • Le trafic du navigateur web est dirigé vers les serveurs infectés.

Explication: HTTPS ajoute une surcharge au contenu des paquets HTTP. HTTPS chiffre les données à l’aide du protocole SSL. Même si certains appareils intègrent des fonctionnalités d’inspection et de décryptage du trafic SSL, des problèmes de confidentialité et de traitement peuvent survenir. HTTPS rend plus difficile la capture de paquets en raison du message supplémentaire nécessaire pour établir une connexion de données chiffrée.

40. Quels sont les trois avantages liés à l’utilisation de liens symboliques par rapport à des liens matériels sous Linux ? Citez-en trois.

  • Ils peuvent pointer vers un répertoire.
  • Ils peuvent être compressés.
  • Ils peuvent afficher l’emplacement du fichier d’origine.
  • Les liens symboliques peuvent être exportés.
  • Ils peuvent pointer vers un fichier dans un autre système de fichiers.
  • Ils peuvent être chiffrés.

Explication: Sous Linux, un lien matériel est un autre fichier qui pointe vers le même emplacement que le fichier d’origine. Un lien symbolique (également appelé lien logiciel) est un lien vers un autre nom de système de fichiers. Les liens matériels sont limités au système de fichiers dans lequel ils sont créés et ils ne peuvent pas pointer vers un répertoire ; les liens symboliques, en revanche, ne sont pas limités au même système de fichiers et ils peuvent pointer vers un répertoire. Pour connaître l’emplacement du fichier d’origine d’un lien symbolique, utilisez la commande ls-l.

41. Quels sont les deux protocoles associés à la couche de transport ? (Choisissez deux propositions.)

  • IP
  • PPP
  • UDP
  • TCP
  • ICMP

Explication: TCP et UDP résident au niveau de la couche de transport dans les modèles OSI et TCP/IP.

42. Associez le concept de sécurité à la description appropriée.

Explication:

risque probabilité pour que des conséquences indésirables en résultent
menace tout danger potentiel qui pèse sur une ressource
exploit mécanisme utilisé pour compromettre une ressource
vulnérabilité faille dans un système

43. Dans le cadre du traitement d’une menace à la sécurité à l’aide du modèle de chaîne de frappe, quelles méthodes une entreprise peut-elle appliquer pour bloquer les exploitations potentielles sur un système ? Citez-en deux.

  • Formez les développeurs web à la sécurisation du code.
  • Menez une analyse complète des malwares.
  • Effectuez des analyses régulières des vulnérabilités et des tests d’intrusion fréquents.
  • Collectez les journaux web et de messagerie pour l’investigation.
  • Créez des systèmes capables de détecter le comportement des attaques connues.

Explication: Une fois qu’une arme est diffusée, les exploits ciblent le plus souvent les applications, les vulnérabilités du système d’exploitation et les comptes utilisateur. Entre autres mesures, telles que les analyses régulières des vulnérabilités et les tests d’intrusion fréquents, former les développeurs web à la sécurisation du code peut contribuer à bloquer les exploitations potentielles sur un système.

44. Quel est l’objectif d’une attaque menée au cours de la phase d’installation de la chaîne de frappe ?

  • Exploiter la vulnérabilité et prendre le contrôle de la cible.
  • Établir une connexion entre un serveur de type commande et contrôle (C&C) et le système cible.
  • Créer une porte dérobée sur le système cible pour permettre un accès futur.
  • Utiliser les informations de la phase de reconnaissance afin de développer une arme contre la cible.

Explication: Au cours de la phase d’installation de la chaîne de frappe, le hacker crée une porte dérobée dans le système afin de bénéficier d’un accès continu à la cible.

45. Quelle activité est généralement effectuée par un hacker lors de la phase d’installation de la chaîne de frappe ?

  • Procurez-vous un outil automatisé pour diffuser la charge utile du malware.
  • Installer un shell web sur le serveur web cible pour un accès permanent.
  • Ouvrir un canal de communication bidirectionnelle vers l’infrastructure CnC.
  • Récolter des adresses e-mail de comptes utilisateur.

Explication: Au cours de la phase d’installation de la chaîne de frappe, le hacker crée une porte dérobée dans le système afin de bénéficier d’un accès continu à la cible.

46. Quelle est la responsabilité du service des ressources humaines dans le traitement d’un incident ?

  • Coordonner les opérations de gestion des incidents avec les autres parties prenantes et minimiser l’impact de l’incident.
  • S’assurer que les politiques, les plans et les procédures de gestion des incidents sont conformes aux directives locales et fédérales.
  • Mettre en place des actions pour réduire l’efficacité de l’attaque et conserver les preuves.
  • Appliquer des mesures disciplinaires si un incident est causé par un employé.

Explication: Lorsqu’un employé est à l’origine d’un incident, le département des Ressources Humaines peut être chargé d’appliquer des mesures disciplinaires.

47. Au cours de quelle phase du cycle de vie de gestion des incidents NIST, l’équipe CSIRT procède-t-elle à une surveillance en continu afin de détecter et de confirmer rapidement un incident ?

  • détection et analyse
  • préparation
  • confinement, éradication et rétablissement des systèmes
  • activités après l’incident

Explication: C’est au cours de la phase de détection et d’analyse du cycle de vie de gestion des incidents NIST que l’équipe CIRST identifie et confirme des incidents par le biais d’une surveillance en continu. Le NIST identifie quatre phases dans le cycle de vie de gestion des incidents.

48. Après le confinement, quelle est la première étape pour éliminer une attaque ?

  • Identifier tous les hôtes qui ont besoin de mesures correctives.
  • Modifier tous les mots de passe.
  • Appliquer un correctif à toutes les vulnérabilités.
  • Organiser des réunions axées sur les leçons apprises.

Explication: Une fois qu’une attaque est stoppée, l’étape suivante consiste à identifier tous les hôtes qui devront faire l’objet de mesures correctives, de sorte que les effets de l’attaque puissent être éliminés.

49. Quelles sont les trois métriques d’impact figurant dans le groupe de mesures de base CVSS 3.0 ? Citez-en trois.

  • Exploit
  • Disponibilité
  • Niveau de résolution
  • Vecteur d’attaque
  • Intégrité
  • Confidentialité

Explication: Le système CVSS (Common Vulnerability Scoring System) est un cadre ouvert standard et indépendant du fournisseur, utilisé pour évaluer les risques d’une vulnérabilité à l’aide de diverses métriques. Le système CVSS utilise trois groupes de métriques pour évaluer une vulnérabilité : le groupe de métriques de base, le groupe de métriques temporelles et le groupe de métriques environnementales. Le groupe de métriques de base se compose de deux catégories de métriques : exploitabilité et impact. Les métriques d’impact sont ancrées dans les domaines suivants : confidentialité, intégrité et disponibilité.

50. Un administrateur réseau crée un profil de réseau pour générer une ligne de base du réseau. Qu’est-ce qui est inclus dans l’élément de l’espace d’adressage critique des ressources ?

  • Les ports et démons TCP et UDP pouvant être ouverts sur le serveur
  • La liste des processus TCP ou UDP disponibles pour accepter les données
  • Les adresses IP ou l’emplacement logique des données ou systèmes critiques
  • Le délai entre le démarrage et l’interruption d’un flux de données

Explication: Un profil de réseau doit comprendre certains éléments importants, notamment :

  • Débit total : quantité de données transitant d’une source donnée à une destination donnée pendant une période donnée
  • Durée de la session : le délai entre le démarrage et l’interruption d’un flux de données
  • Ports utilisés : liste des processus TCP ou UDP disponibles pour accepter les données
  • Espace d’adressage critique : adresses IP ou emplacement logique des données ou systèmes critiques

51. Selon le modèle de chaîne de frappe, que va faire un hacker pour créer une porte dérobée sur une cible compromise ?

  • Ouvrir un canal de communication bidirectionnelle vers l’infrastructure C&C.
  • Ajouter des services et des clés d’exécution automatique.
  • Procurez-vous un outil automatisé pour diffuser la charge utile du malware.
  • Collecter et exfiltrer des données.

Explication: Une fois le système cible compromis, le hacker va y créer une porte dérobée afin de bénéficier d’un accès continu à la cible. L’ajout de services et de clés d’exécution automatique permet de créer un point d’accès permanent.

52. Les utilisateurs signalent qu’un fichier de base de données sur le serveur principal est inaccessible. Un administrateur de base de données vérifie le problème et remarque que le fichier de base de données est maintenant chiffré. L’entreprise reçoit un e-mail menaçant exigeant une rançon pour déchiffrer le fichier de base de données. Quel type d’attaque l’entreprise a-t-elle subie ?

  • Ransomware
  • Cheval de Troie
  • Attaque man-in-the-middle
  • Attaque par déni de service (DoS)

Explication: Les spécialistes de la cybersécurité doivent connaître les caractéristiques des différents types de programmes malveillants et d’attaques qui menacent les entreprises.

53. Quel type de preuve étaye un argument sur la base d’un élément de preuve obtenu précédemment ?

  • meilleure preuve
  • preuve indirecte
  • preuve corroborante
  • preuve directe

Explication: Une preuve corroborante étaye une proposition déjà soutenue par un élément de preuve initial, confirmant ainsi la proposition d’origine. Une preuve circonstancielle est une preuve autre que les récits de première main rapportés par les témoins.

54. Placez la priorité de collecte des preuves de la plus volatile à la moins volatile, conformément aux instructions de l’IETF.

Explication:

registres de mémoire, caches 1. (la plus volatile)
table de routage, cache ARP, table de processus, statistiques de noyau, RAM 2.
systèmes de fichiers temporaires 3.
supports non volatiles, fixes et amovibles 4.
données de surveillance et de journalisation à distance 5.
topologies et interconnexions physiques 6.
supports d’archivage, bande ou autres systèmes de sauvegarde 7.

55. Reportez-vous à l’illustration. Quel champ de la fenêtre d’application Sguil indique la priorité d’un événement ou d’un ensemble d’événements corrélés ?

  • CNT
  • AlertID
  • ST
  • Pr

Explication: Plusieurs champs de la fenêtre d’application Sguil donnent des informations sur un événement. Le champ ST indique l’état d’un événement suivant quatre niveaux de priorité allant du jaune clair au rouge.

56. Quels deux types de trafic réseau proviennent de protocoles qui génèrent beaucoup de trafic de routine? (Choisissez deux réponses.)

  • Trafic d’alerte d’audit de sécurité Windows
  • Trafic IPsec
  • Trafic STP
  • Trafic SSL
  • Trafic des mises à jour de routage

Explication: Pour réduire l’énorme quantité de données recueillies et permettre ainsi aux analystes en cybersécurité de se concentrer sur les menaces critiques, il est possible de supprimer certaines données inutilisables ou moins importantes des jeux de données. Par exemple, le trafic de gestion de réseau de routage, comme les mises à jour de routage et le trafic STP, pourrait être éliminé.

57. Qu’indique une classification d’alerte de sécurité de type « vrai négatif » ?

  • Le trafic normal est ignoré comme il se doit et aucune alerte erronée n’est émise.
  • Les exploits ne sont pas détectés par les systèmes de sécurité installés.
  • Une alerte est émise à tort et ne correspond pas à un incident réel.
  • Après vérification, l’alerte s’est avérée être un incident réel.

Explication: Le classement d’une alerte en « vrai négatif » est souhaitable, car cela indique que le trafic normal n’est pas identifié comme étant malveillant par les mécanismes de sécurité.

58. Comment l’ID d’événement est-il attribué dans Sguil?

  • Tous les événements de la série d’événements corrélés reçoivent le même ID d’événement.
  • Seul le premier événement de la série d’événements corrélés reçoit un ID unique.
  • Tous les événements de la série d’événements corrélés reçoivent le même ID de groupe d’événements.
  • Chaque événement de la série d’événements corrélés se voit attribuer un ID unique.

Explication: Seul le premier ID de la série d’événements corrélés s’affiche dans l’onglet RealTime.

59. Un spécialiste en sécurité du réseau est chargé de mettre en place une mesure de sécurité qui surveille l’état des fichiers critiques dans le data center et envoie immédiatement une alerte si un fichier est modifié. Sur quel aspect des communications sécurisées cette mesure de sécurité porte-t-elle ?

  • La confidentialité des données
  • L’intégrité des données
  • La non-répudiation
  • L’authentification de l’origine

Explication: Les communications sécurisées se composent de quatre éléments :

  • La confidentialité des données assure que seuls les utilisateurs autorisés peuvent lire le message.
  • L’Intégrité des données garantit que le message n’a pas été modifié.
  • L’authentification de l’origine garantit qu’il ne s’agit pas d’un faux message et qu’il provient réellement du propriétaire.
  • La non-répudiation des données garantit que l’expéditeur ne peut pas remettre en cause la validité d’un message envoyé.

60. Reportez-vous à l’illustration. Un analyste en cybersécurité visualise les paquets capturés transmis via le commutateur S1. Quel périphérique possède l’adresse MAC d8:cb:8a:5c:d5:8a ?

  • Routeur passerelle par défaut
  • Routeur du FAI
  • PC-A
  • Serveur DNS
  • Un serveur web

Explication: La capture Wireshark provient d’une réponse DNS envoyée par un serveur DNS à PC-A. Comme le paquet a été capturé sur le LAN auquel est connecté le PC, le routeur passerelle par défaut (DG) a encapsulé le paquet de réponse provenant du routeur du FAI dans une trame Ethernet adressée à PC-A et a transmis la trame en question avec l’adresse MAC de PC-A comme destination.

61. Un attaquant réachemine le trafic vers une fausse passerelle par défaut afin de tenter d’intercepter le trafic de données d’un réseau commuté. De quel type d’attaque s’agit-il?

  • Usurpation DHCP (ou spoofing)
  • inondation SYN sur TCP
  • Empoisonnement du cache ARP
  • Tunnellisation DNS

Explication: Dans les attaques d’usurpation DHCP, un acteur de menaces configure un faux serveur DHCP sur le réseau pour émettre des adresses DHCP aux clients dans le but de forcer les clients à utiliser une passerelle par défaut fausse ou non valide. Une attaque «man-in-the-middle» peut être créée en définissant l’adresse de passerelle par défaut sur l’adresse IP de l’acteur de la menace.

62. A quelle couche OSI une adresse IP source est-elle ajoutée à une PDU pendant le processus d’encapsulation?

  • couche application
  • couche transport
  • couche réseau
  • couche liaison de données

63. Un inonde de paquets avec des adresses IP source non valides demande une connexion sur le réseau. Le serveur essaie activement de répondre, ce qui fait que les demandes valides sont ignorées. De quel type d’attaque s’agit-il ?

  • inondation SYN sur TCP
  • Réinitialisation du TCP
  • Inondation UDP
  • Piratage de session TCP

Explication: Un inonde de paquets avec des adresses IP source non valides demande une connexion sur le réseau. Le serveur essaie activement de répondre, ce qui fait que les demandes valides sont ignorées. De quel type d’attaque s’agit-il ?

64. Quels sont les deux types de renseignements personnels qui peuvent être vendus sur le web sombre par les cybercriminels? (Choisissez deux réponses.)

  • nom d’un animal
  • ville de résidence
  • photos Facebook
  • adresse postale
  • nom d’une banque

Explication:

  • Nom
  • Numéro de sécurité sociale
  • Anniversaire
  • Numéros de carte de paiement
  • Numéros de compte bancaire
  • Informations sur Facebook
  • L’information d’adresse (rue, e-mail, numéros de téléphone)

65. Quel type de message ICMP peut être utilisé par les acteurs de menaces pour effectuer des attaques de reconnaissance réseau et d’analyse?

  • Découverte du routeur ICMP
  • Réponse de masque ICMP
  • ICMP inaccessible
  • Redirection ICMP

Explication: Les acteurs de menace s’intéressent notamment aux messages ICMP courants suivants:

  • Requête d’écho et réponse par écho ICMP: utilisés pour les attaques de vérification de l’hôte et pour les attaques DoS.
  • ICMP inaccessible: est utilisé pour les attaques de reconnaissance et d’analyse.
  • Réponse de masque ICMP: est utilisé pour cartographier un réseau IP interne.
  • Redirection ICMP: utilisé pour inciter l’hôte cible à envoyer l’ensemble du trafic via un appareil compromis et pour créer une attaque MITM.
  • Détection de routeur ICMP: utilisé pour introduire de fausses entrées de route dans la table de routage d’un hôte cible.

66. Afin de prévenir les attaques réseau, les cyberanalystes partagent avec leurs collègues des attributs identifiables uniques des attaques connues. Quels trois types d’attributs ou d’indicateurs de compromis sont utiles à partager? (Choisissez trois propositions.)

  • Caractéristiques des fichiers malveillants
  • Adresses IP des serveurs d’attaque
  • BIOS des systèmes attaquants
  • Modifications apportées au logiciel du système final
  • Systèmes ID de Systèmes compromis
  • Noms netbios des pare-feu compromis

Explication: De nombreuses attaques réseau peuvent être évitées en diffusant des informations sur les indicateurs d’attaques (IOC). Chaque attaque présente des caractéristiques spécifiques. Les indicateurs de compromis sont la preuve qu’une attaque a eu lieu. Les IOC peuvent être des fonctionnalités qui identifient les fichiers malveillants, les adresses IP des serveurs utilisés dans les attaques, les noms de fichiers et les modifications caractéristiques apportées aux logiciels du système final, entre autres.

67. Quels sont les deux types de messages IPv6 utilisés à la place de l’ARP pour la résolution d’adresse? (Choisissez deux réponses.)

  • Réponse d’écho.
  • Diffusion
  • Sollicitation de voisin
  • Annonce de voisin
  • Requête d’écho
  • Anycast

Explication: IPv6 n’utilise pas l’ARP. En revanche, la découverte de voisins ICMPv6 est utilisée en envoyant des messages de sollicitation et d’annonce aux voisins.

68. Quelles sont les deux différences entre HTTP et HTTP/2? (Choisissez deux réponses.)

  • HTTP/2 utilise un en-tête compressé pour réduire les besoins en bande passante.
  • HTTP/2 utilise le multiplexage pour prendre en charge plusieurs flux et améliorer l’efficacité.
  • HTTP/2 émet des requêtes en utilisant un format texte alors que HTTP utilise des commandes binaires.
  • HTTP a un format d’en-tête différent de HTTP/2.
  • HTTP/2 utilise des codes d’état différents de ceux de HTTP pour améliorer les performances.

Explication: Le but de HTTP/2 est d’améliorer les performances HTTP en traitant les problèmes de latence de HTTP. Ceci est réalisé en utilisant des fonctionnalités telles que le multiplexage, la poussée du serveur, le code binaire et la compression des en-têtes.

69. Quel est le but de la LCSM/CA?

  • Pour prévenir les collisions
  • Pour isoler le trafic
  • Empêcher les boucles de routage
  • Pour filtrer le trafic

Explication: CSMA/CA = accès multiple avec écoute de porteuse et évitement de collision. Il s’agit d’un mécanisme utilisé dans les réseaux sans fil pour empêcher les collisions de paquets de se produire.

70. Quels sont les trois services offerts par FireEye ? (Choisissez trois propositions.)

  • soumet tout le trafic à une analyse approfondie de l’inspection des paquets
  • déploie des jeux de règles de détection d’incidents dans les outils de sécurité réseau
  • identifie et arrête les vecteurs de menaces par e-mail
  • crée dynamiquement des règles de pare-feu
  • identifie et arrête les logiciels malveillants latents sur les fichiers
  • bloque les attaques sur le Web

Explication: FireEye est une société de sécurité qui utilise une approche en trois volets qui allie sécurité adaptative, expertise en matière de sécurité et technologie. FireEye propose SIEM et SOAR avec la plateforme de sécurité Helix, qui utilise l’analyse comportementale et la détection avancée des menaces.

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires