Resultados da avaliação / Relatório de comentários por item

CyberOps Associate (Versão 1.0) - Exame simulado para certificação de

associado da CyberOps (200-201)

Abaixo você encontra o relatório de comentários por item para aqueles itens pelos quais você não
recebeu crédito. Alguns itens interativos podem não exibir a sua resposta.

Subtotal: Conhecimento de domínio - Pontuação padrão

2 Qual termo descreve um ator de ameaça que tem habilidades avançadas

e persegue uma agenda social?

Correta Sua
Resposta Resposta

crime organizado

hacktivistas

espiões corporativos/industriais

hacker inexperiente

Atores de ameaças que têm habilidades avançadas de hackers e perseguem uma agenda social ou política são
conhecidos como hacktivistas.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

3 Quais são dois fatores motivadores para atores de ameaça patrocinados

pelo Estado-nação? (Escolha duas.)

Correta Sua
Resposta Resposta

causas sociais ou pessoais

mostrando sua habilidade de hacking

 ganho financeiro

perturbação do comércio ou da infra-estrutura

espionagem industrial

Os atores de ameaça do Estado-nação geralmente não estão interessados ou motivados por ganhos financeiros. Eles
estão principalmente envolvidos em espionagem corporativa ou perturbar o comércio internacional ou infra-estrutura
crítica.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

5 Pergunta como apresentada:

Corresponda a definição ao termo do Microsoft Windows. (Nem todas as opções são usadas).

banco de dados de hardware, software, usuários e configurações

usado para gerenciar computadores remotos

fornece acesso necessário pelo processo de espaço do usuário

alça

registro

thread
 WMI

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:

Corresponda a definição ao termo do Microsoft Windows. (Nem todas as opções são usadas).

banco de dados de hardware, software, usuários e configurações

usado para gerenciar computadores remotos

fornece acesso necessário pelo processo de espaço do usuário

alça

registro

banco de dados de hardware, software, usuários e configurações

thread

fornece acesso necessário pelo processo de espaço do usuário

WMI
 usado para gerenciar computadores remotos

9 Qual aplicativo do Windows é comumente usado por um analista de

segurança cibernética para exibir logs de acesso do Microsoft IIS?

Correta Sua
Resposta Resposta

Visualizador de Eventos

Word

Bloco de notas

SIEM

O Visualizador de Eventos é um aplicativo em um dispositivo baseado no Windows usado para exibir logs de eventos,
incluindo logs de acesso do IIS.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

10 Qual ferramenta do Windows pode ser usada por um administrador de

segurança cibernética para proteger computadores autônomos que não
fazem parte de um domínio de diretório ativo?
Correta Sua
Resposta Resposta

Firewall do Windows

PowerShell

Windows Defender

Ferramenta de Política de Segurança Local

Os sistemas Windows que não fazem parte de um domínio do Active Directory podem usar a Política de segurança
local do Windows para impor configurações de segurança em cada sistema autônomo.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

11 Quais são os três benefícios de usar links simbólicos sobre links

rígidos no Linux? (Escolha três.)

Correta Sua
Resposta Resposta

Eles podem se vincular a um diretório.

Eles podem ser comprimidos.

Links simbólicos podem ser exportados.

Eles podem ser criptografados.

Eles podem mostrar a localização do arquivo original.

Eles podem se vincular a um arquivo em um sistema de arquivos diferente.

No Linux, um link rígido é outro arquivo que aponta para o mesmo local do arquivo original. Um link suave (também
chamado de link simbólico ou link simbólico) é um link para outro nome de sistema de arquivos. Links rígidos são
limitados ao sistema de arquivos no qual eles são criados e eles não podem se vincular a um diretório; links flexíveis
não estão limitados ao mesmo sistema de arquivos e eles podem se vincular a um diretório. Para ver a localização do
arquivo original de um link simbólico, use o comando ls -l.

Esse item faz referência ao conteúdo das seguintes áreas:

 CyberOps Associate

14 Pergunta como apresentada:

Corresponda a descrição ao termo do Linux. (Nem todas as opções são usadas).

uma instância em execução de um programa de computador

cria uma cópia de um processo devido à multitarefa

determina os direitos de usuário para um arquivo

garfo

lidar com

permissões

processo

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate
Sua resposta:

Corresponda a descrição ao termo do Linux. (Nem todas as opções são usadas).

uma instância em execução de um programa de computador

cria uma cópia de um processo devido à multitarefa

determina os direitos de usuário para um arquivo

garfo

lidar com

uma instância em execução de um programa de computador

permissões

determina os direitos de usuário para um arquivo

processo

cria uma cópia de um processo devido à multitarefa

19 Um profissional de segurança está fazendo recomendações a uma
empresa para melhorar a segurança de terminais. Qual tecnologia de
endpoint de segurança seria recomendada como um sistema baseado
em agentes para proteger hosts contra malware?

Correta Sua
Resposta Resposta

AS COVAS

linha de base

Lista de bloqueio

IPS

Um sistema de detecção de intrusões baseado em host (HIDS) é um aplicativo de segurança abrangente que fornece
aplicativos antimalware, um firewall e monitoramento e relatórios.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

22 Que tipo de evidência não pode provar um fato de segurança de TI por

conta própria?

Correta Sua
Resposta Resposta

melhor

boato

corroborativo

indireto

Evidências indiretas não podem provar um fato por conta própria, mas evidências diretas podem. Evidências
corroborativas são informações de apoio. A melhor evidência é mais confiável porque é algo concreto, como um
contrato assinado.
 Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

23 Um analista de segurança cibernética foi chamado para uma cena de

crime que contém vários itens de tecnologia, incluindo um computador.
Qual técnica será usada para que as informações encontradas no
computador possam ser usadas em tribunal?

Correta Sua
Resposta Resposta

imagem de disco inalterada

rootkit

Tor

coleta de logs

Uma cópia de arquivo normal não recupera todos os dados em um dispositivo de armazenamento, portanto, uma
imagem de disco inalterada é comumente feita. Uma imagem de disco inalterada preserva a evidência original,
evitando assim alterações inadvertidas durante a fase de descoberta. Ele também permite a recriação da evidência
original.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

25 O gerente de SOC está revisando as métricas do trimestre anterior e

descobre que o MTTD por uma violação da segurança de senha
perpetrada pela Internet foi de quarenta dias. O que a métrica MTTD
representa dentro do SOC?

Correta Sua
Resposta Resposta
 o tempo médio necessário para parar e corrigir um incidente de segurança

o tempo médio que leva para identificar incidentes de segurança válidos que ocorreram

o tempo necessário para impedir que o incidente cause mais danos aos sistemas ou dados

janela de tempo necessário para parar a propagação de malware na rede

A Cisco define o MTTD como o tempo médio necessário para que o pessoal do SOC identifique que ocorreram
incidentes de segurança válidos na rede.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

26 Pergunta como apresentada:

Combine o termo do sistema de arquivos usado no Linux com a função

ext4

diário (journaling )

MBR

sistema de arquivos troca

suporta tamanhos de arquivo aumentados

minimiza o risco de corrupção de arquivos em caso de perda de energia

fornece espaço no disco rígido que contém conteúdo de RAM inativo

 armazena informações sobre como o sistema de arquivos está organizado

Os objetivos da certificação listam as palavras "sistema de arquivos de troca" como um termo a ser definido no que se
refere ao sistema de arquivos Linux. Espaço de troca, arquivo de troca ou partição de troca são outras palavras para
descrever o espaço no disco rígido usado quando o sistema precisa de mais memória do que a RAM.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:

Combine o termo do sistema de arquivos usado no Linux com a função

ext4

diário (journaling )

MBR

sistema de arquivos troca

suporta tamanhos de arquivo aumentados

sistema de arquivos troca

minimiza o risco de corrupção de arquivos em caso de perda de

energia
 MBR

fornece espaço no disco rígido que contém conteúdo de RAM

inativo

ext4

armazena informações sobre como o sistema de arquivos está

organizado

diário (journaling )

29 Pergunta como apresentada:

Combine o conceito de segurança com a descrição.

ameaça

vulnerabilidade

exploit

risco

a probabilidade de consequências irdesejáveis

 um mecanismo usado para comprometer um ativo

uma fraqueza em um sistema

um perigo potencial para um ativo

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:

Combine o conceito de segurança com a descrição.

ameaça

vulnerabilidade

exploit

risco

a probabilidade de consequências irdesejáveis

risco
 um mecanismo usado para comprometer um ativo

ameaça

uma fraqueza em um sistema

vulnerabilidade

um perigo potencial para um ativo

exploit

33 Qual modelo de controle de acesso aplica o controle de acesso mais

rigoroso e é frequentemente usado em aplicações militares e de missão
crítica?

Correta Sua
Resposta Resposta

discricionário

baseado em atributos

não discricionária

obrigatório
 Aplicativos militares e de missão crítica geralmente usam controle de acesso obrigatório, que aplica o controle de
acesso mais rigoroso para proteger os recursos da rede.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

34 Pergunta como apresentada:

Combine o componente de segurança da informação com a descrição.

disponibilidade

confidencialidade

integridade

Oapenas indivíduos, entidades ou processos autorizados podem acessar

informações confidenciais.

Os dados estão protegidos contra alterações não autorizadas.

Os usuários autorizados devem ter acesso ininterrupto a recursos e dados

importantes.
Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:

Combine o componente de segurança da informação com a descrição.

disponibilidade

confidencialidade

integridade

Oapenas indivíduos, entidades ou processos autorizados podem

acessar informações confidenciais.

disponibilidade

Os dados estão protegidos contra alterações não autorizadas.

confidencialidade

Os usuários autorizados devem ter acesso ininterrupto a recursos e

dados importantes.

integridade
35 Qual componente de segurança da informação está comprometido em
um ataque DDoS?

Correta Sua
Resposta Resposta

integridade

prestação de contas

disponibilidade

confidencialidade

Confidencialidade, integridade e disponibilidade são os elementos contidos na tríade da CIA. Disponibilidade significa
que todos os usuários autorizados têm acesso ininterrupto a recursos e dados importantes. Em um ataque DDoS,
servidores e serviços estão sobrecarregados e aplicativos não estão mais disponíveis para os usuários.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

36 Qual modelo de controle de acesso atribui privilégios de segurança com

base na posição, responsabilidades ou classificação de cargo de um
indivíduo ou grupo dentro de uma organização?

Correta Sua
Resposta Resposta

obrigatório

baseado em função

discricionário

baseado em regras

Os modelos de controle de acesso baseados em função atribuem privilégios com base na posição, responsabilidades
ou classificação de cargo. Usuários e grupos com as mesmas responsabilidades ou classificação de trabalho
compartilham os mesmos privilégios atribuídos. Esse tipo de controle de acesso também é conhecido como controle
de acesso não discricionário.
 Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

41 Um analista de segurança está investigando um ataque cibernético que

começou comprometendo um sistema de arquivos por meio de uma
vulnerabilidade em um aplicativo de software personalizado. O ataque
agora parece estar afetando sistemas de arquivos adicionais sob o
controle de outra autoridade de segurança. Qual pontuação métrica de
exploração base do CVSS v3.0 é aumentada por esta característica de
ataque?

Correta Sua
Resposta Resposta

interação com o usuário

privilégios necessários

complexidade do ataque

escopo

A métrica de escopo é afetada por uma vulnerabilidade explorada que pode afetar recursos além dos privilégios
autorizados do componente vulnerável ou gerenciados por uma autoridade de segurança diferente.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

42 Quais são as três métricas de impacto contidas no CVSS 3.0 Base

Metric Group? (Escolha três.)

Correta Sua
Resposta Resposta
 vetor de ataque

confidencialidade

nível de correção

integridade

disponibilidade

exploit

O Common Vulnerability Scoring System (CVSS) é uma estrutura aberta de padrão do setor, neutra para avaliar os
riscos de uma vulnerabilidade usando uma variedade de métricas. O CVSS usa três grupos de métricas para avaliar a
vulnerabilidade, o Grupo Métrico Base, o Grupo de Métricas Temporais e o Grupo de Métricas Ambientais. O Grupo
de Métricas Base tem duas classes de métricas (capacidade de exploração e impacto). As métricas de impacto estão
enraizadas nas seguintes áreas: confidencialidade, integridade e disponibilidade.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

43 Um caçador de ameaças está preocupado com um aumento

significativo no tráfego TCP proveniente da porta 53. Suspeita-se que o
tráfego de transferência de arquivos mal-intencionados está sendo
encapsulado usando a porta DNS TCP. Qual ferramenta de inspeção
profunda de pacotes pode detectar o tipo de aplicativo originando o
tráfego suspeito?

Correta Sua
Resposta Resposta

Wireshark

NBAR2

NetFlow

analisador syslog

IDS/IPS
 NBAR2 é usado para descobrir os aplicativos que são responsáveis pelo tráfego de rede. O NBAR é um mecanismo
de classificação que pode reconhecer uma grande variedade de aplicativos, incluindo aplicativos baseados na Web e
aplicativos cliente/servidor.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

45 Que tipo de análise depende de condições predefinidas e pode analisar

aplicativos que usam apenas portas fixas conhecidas?

Correta Sua
Resposta Resposta

registro

probabilístico

determinístico

estatístico

A análise determinística usa condições predefinidas para analisar aplicativos que estão em conformidade com os
padrões de especificação, como a realização de uma análise baseada em porta.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

47
Consulte a figura. Um especialista em segurança está usando o Wireshark para
revisar um arquivo PCAP gerado pelo tcpdump . Quando o cliente iniciou uma
solicitação de download de arquivo, qual par de soquete de origem foi usado?

Correta Sua
Resposta Resposta

[Link]:6666

[Link]:6666

[Link]:48598

[Link]:48598

A combinação do endereço IP origem e o número da porta de origem ou o endereço IP destino e o número da porta
de destino é conhecida como [Link] soquete é mostrado como o endereço IP e número de porta associado com
dois pontos entre os dois (IP_Address:port_number).

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

48 Quais três campos são encontrados nos cabeçalhos TCP e UDP?

(Escolha três.)

Correta Sua
Resposta Resposta

porta destino
 soma de verificação

janela

opções

porta de origem

Número sequencial

O cabeçalho UPD tem quatro campos. Três desses campos são comuns com o cabeçalho TCP. Esses três campos
são a porta de origem, a porta de destino e a soma de verificação.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

49 O que é um recurso de um IPS?

Correta Sua
Resposta Resposta

Seu foco principal é identificar possíveis incidentes.

Pode parar pacotes maliciosos.

É implantado no modo offline.

Não tem impacto na latência.

Uma vantagem de um sistema de prevenção de intrusões (IPS) é que ele pode identificar e interromper pacotes
maliciosos. No entanto, como um IPS é implantado em linha, ele pode adicionar latência à rede.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

50 Pergunta como apresentada:

Compare o serviço de segurança com a descrição.

ACL

SNMP

NetFlow

pespelhamento ort

permite que os administradores gerenciem dispositivos de rede

uma série de comandos que controlam se um dispositivo encaminha ou

descarta pacotes

permite que um switch faça cópias duplicadas do tráfego que é enviado

para um analisador de tráfego

fornece estatísticas sobre os pacotes que fluem através de um roteador

Cisco ou switch multicamadas

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate
Sua resposta:

Compare o serviço de segurança com a descrição.

ACL

SNMP

NetFlow

pespelhamento ort

permite que os administradores gerenciem dispositivos de rede

NetFlow

uma série de comandos que controlam se um dispositivo encaminha

ou descarta pacotes

pespelhamento ort

permite que um switch faça cópias duplicadas do tráfego que é

enviado para um analisador de tráfego

SNMP

fornece estatísticas sobre os pacotes que fluem através de um

roteador Cisco ou switch multicamadas

ACL
51 Qual campo no cabeçalho IPv6 aponta para informações de camada de
rede opcional que são transportadas no pacote IPv6?

Correta Sua
Resposta Resposta

classe de tráfego

versão

etiqueta de fluxo

próximo cabeçalho

Informações opcionais da Camada 3 sobre fragmentação, segurança e mobilidade são transportadas dentro dos
cabeçalhos de extensão em um pacote IPv6. O próximo campo de cabeçalho do cabeçalho IPv6 atua como um
ponteiro para esses cabeçalhos de extensão opcionais se eles estiverem presentes.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

52 Quais três campos de cabeçalho IPv4 não têm equivalente em um

cabeçalho IPv6? (Escolha três.)

Correta Sua
Resposta Resposta

TTL

deslocamento de fragmento

identification

sinalização
 protocolo

versão

Ao contrário do IPv4, os roteadores IPv6 não executam fragmentação. Portanto, todos os três campos que suportam
fragmentação no cabeçalho IPv4 são removidos e não têm equivalente no cabeçalho IPv6. Esses três campos são
deslocamento de fragmento, sinalizador e identificação. O IPv6 oferece suporte à fragmentação de pacotes de host
por meio do uso de cabeçalhos de extensão, que não fazem parte do cabeçalho IPv6.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

54 Qual é a principal diferença entre os dados capturados pelo NetFlow e

os dados capturados pelo Wireshark?

Correta Sua
Resposta Resposta

O NetFlow coleta metadados de um fluxo de rede, enquanto o Wireshark captura pacotes de dados completos.

Os dados NetFlow são analisados por tcpdump enquanto os dados Wireshark são analisados por nfdump .

NetFlow fornece dados de transação, enquanto Wireshark fornece dados de sessão.

Os dados NetFlow mostram o conteúdo do fluxo de rede, enquanto os dados Wireshark mostram estatísticas de fluxo de
rede.

O Wireshark captura todo o conteúdo de um [Link] não. Em vez disso, o NetFlow coleta metadados ou
dados sobre o fluxo.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

56 Pergunta como apresentada:

Combine o alarme IPS com a descrição.

falso positivo

falso negativo

positivo real

verdadeiro negativo

tráfego normal não é identificado corretamente como uma ameaça

tráfego mal-intencionado é identificado corretamente como uma ameaça

tráfego mal-intencionado não é identificado corretamente como uma

ameaça

tráfego normal é identificado incorretamente como uma ameaça

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:
Combine o alarme IPS com a descrição.

falso positivo

falso negativo

positivo real

verdadeiro negativo

tráfego normal não é identificado corretamente como uma ameaça

falso positivo

tráfego mal-intencionado é identificado corretamente como uma

ameaça

positivo real

tráfego mal-intencionado não é identificado corretamente como uma

ameaça

falso negativo

tráfego normal é identificado incorretamente como uma ameaça

verdadeiro negativo
58 O que corresponderá à expressão regular ^83?

Correta Sua
Resposta Resposta

qualquer string que inclua 83

qualquer string com valores maiores que 83

qualquer string que termine com 83

qualquer string que comece com 83

A expressão ^83 indica que qualquer string que começa com 83 será correspondida.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

59 Qual expressão regular corresponderia a qualquer string que contenha

4 zeros consecutivos?

Correta Sua
Resposta Resposta

0{4}

[0-4]

{0-4}

^0000

A expressão regular 0 {4} corresponde a qualquer string que contenha 4 repetições de zero ou 4 zeros consecutivos.

Esse item faz referência ao conteúdo das seguintes áreas:

 CyberOps Associate

60 Usando Tcpdump e Wireshark, um analista de segurança extrai um

arquivo baixado de um arquivo pcap. O analista suspeita que o arquivo
é um vírus e deseja saber o tipo de arquivo para um exame mais
aprofundado. Qual comando Linux pode ser usado para determinar o
tipo de arquivo?

Correta Sua
Resposta Resposta

ls-l

arquivo

tail

nano

O comando de arquivo Linux pode ser usado para determinar um tipo de arquivo, como se ele é executável, texto
ASCII ou zip.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

62 O que é um exemplo de uma exploração local?

Correta Sua
Resposta Resposta

A varredura de portas é usada para determinar se o serviço Telnet está sendo executado em um servidor remoto.

Um ator ameaça executa um ataque de força bruta em um roteador de borda empresarial para obter acesso ilegal.

Um ataque de estouro de buffer é iniciado contra um site de compras on-line e causa a falha do servidor.
 Um ator de ameaça tenta obter a senha de usuário de um host remoto usando um software de captura de teclado instalado
nele por um cavalo de Tróia.

Explorações de vulnerabilidade podem ser remotas ou locais. Em uma exploração local, o ator de ameaça tem algum
tipo de acesso do usuário ao sistema final, fisicamente ou por meio de acesso remoto. A atividade de exploração está
dentro da rede local.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

64 Qual dos itens abaixo é um exemplo de engenharia social?

Correta Sua
Resposta Resposta

a infecção de um computador por um vírus transmitido por um cavalo de Troia

um programador anônimo que direciona um ataque DDoS para um data center

um computador que exibe pop-ups e adware não autorizados

uma pessoa não identificada que afirma ser um técnico que coleta informações de usuário dos funcionários

Um engenheiro social tenta obter a confiança de um funcionário e convencer essa pessoa a divulgar informações
confidenciais, como nomes de usuário e senhas. Os ataques DDoS, pop-ups e vírus são exemplos de ameaças à
segurança baseadas em software, não em engenharia social.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

68 Quais são dois exemplos de ataques DoS? (Escolha duas.)

Correta Sua
Resposta Resposta
 Inserção de SQL

varredura de porta

ping of seath

estouro de bufer

phishing

O estouro de buffer e o ping dos ataques DoS de morte exploram falhas relacionadas à memória do sistema em um
servidor enviando uma quantidade inesperada de dados ou dados malformados para o servidor.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

69 Qual ataque é integrado com os níveis mais baixos do sistema

operacional de um host e tenta ocultar completamente as atividades do
ator ameaça no sistema local?

Correta Sua
Resposta Resposta

inserção de tráfego

rootkit

encriptação e encapsulamento

substituição de tráfego

Um rootkit é uma ferramenta de ataque complexa e se integra com os níveis mais baixos do sistema operacional. O
objetivo do rootkit é ocultar completamente as atividades do ator ameaça no sistema local.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate
71 Quais dois ataques visam servidores web explorando possíveis
vulnerabilidades de funções de entrada usadas por um aplicativo?
(Escolha duas.)

Correta Sua
Resposta Resposta

Inserção de SQL

Exploração de confiança

script entre sites

redirecionamento de porta

varredura de porta

Quando um aplicativo Web usa campos de entrada para coletar dados de clientes, os atores de ameaças podem
explorar possíveis vulnerabilidades para inserir comandos mal-intencionados. Os comandos mal-intencionados que
são executados por meio do aplicativo Web podem afetar o sistema operacional no servidor Web. Injeção SQL e
scripts entre sites são dois tipos diferentes de ataques de injeção de comando.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

72 Qual função de segurança é fornecida por algoritmos de criptografia?

Correta Sua
Resposta Resposta

gerenciamento de chaves

Autorização

integridade

confidencialidade

Algoritmos de criptografia são usados para fornecer confidencialidade de dados, o que garante que, se os dados
forem interceptados em trânsito, eles não podem ser lidos.
 Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

73 Que tipo de ataque é realizado por agentes de ameaça contra uma rede
para determinar quais endereços IP, protocolos e portas são permitidos
pelas ACLs?

Correta Sua
Resposta Resposta

reconhecimento

phishing

negação de serviço

engenharia social

As ACLs de filtragem de pacotes usam regras para filtrar o tráfego de entrada e saída. Essas regras são definidas
especificando endereços IP, números de porta e protocolos a serem correspondidos. Os atores de ameaças podem
usar um ataque de reconhecimento envolvendo varredura de portas ou testes de penetração para determinar quais
endereços IP, protocolos e portas são permitidos pelas ACLs.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

76 Que tipo de dados é usado pelo Cisco Cognitive Intelligence para

encontrar atividades mal-intencionadas que ignoraram os controles de
segurança ou entraram por canais não monitorados e estão operando
dentro de uma rede corporativa?

Correta Sua
Resposta Resposta

sessão
 transação

estatístico

alerta

O Cisco Cognitive Intelligence utiliza dados estatísticos para análise estatística, a fim de encontrar atividades
maliciosas que ignoraram os controles de segurança ou entraram através de canais não monitorados (incluindo mídia
removível) e está operando dentro da rede de uma organização.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

77 Qual ferramenta captura pacotes de dados completos apenas com uma

interface de linha de comando?

Correta Sua
Resposta Resposta

tcpdump

nfdump

Wireshark

NBAR2

A ferramenta de linha de comando tcpdump é um analisador de pacotes. Wireshark é um analisador de pacotes com
uma interface GUI.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

78 Qual appliance Cisco pode ser usado para filtrar o conteúdo do tráfego
de rede para relatar e negar tráfego com base na reputação do servidor
 Web?

Correta Sua
Resposta Resposta

WSA

ESA

AVC

ASA

O Cisco Web Security Appliance (WSA) atua como um proxy da Web para uma rede corporativa. O WSA pode
fornecer muitos tipos de logs relacionados à segurança do tráfego da Web, incluindo logs de decisão de ACL, logs de
varredura de malware e logs de filtragem de reputação da Web. O Cisco Email Security Appliance (ESA) é uma
ferramenta para monitorar a maioria dos aspectos da entrega de e-mail, funcionamento do sistema, antivírus,
operações antispam e decisões de lista negra e lista branca. O Cisco ASA é um appliance de firewall. O sistema AVC
(Visibilidade e Controle de Aplicativos) da Cisco combina várias tecnologias para reconhecer, analisar e controlar mais
de 1000 aplicativos.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

81 Um administrador de rede está criando um perfil de rede para gerar uma

linha de base de rede. O que está incluído no elemento de espaço de
endereço de ativo crítico?

Correta Sua
Resposta Resposta

os daemons e portas TCP e UDP que podem ser abertos no servidor

os endereços IP ou a localização lógica de sistemas ou dados essenciais

a lista de processos TCP ou UDP que estão disponíveis para aceitar dados

o tempo entre o estabelecimento de um fluxo de dados e seu encerramento

Um perfil de rede deve incluir alguns elementos importantes, como o seguinte:

 Rendimento Total - a quantidade de dados que passam de uma determinada fonte para um determinado destino em
um determinado período de tempo

Duração da Sessão - o tempo entre o estabelecimento de um fluxo de dados e seu encerramento

Portas Usadas - uma lista de processos TCP ou UDP que estão disponíveis para aceitar dados

Espaço de endereço de ativo crítico - os endereços IP ou a localização lógica de sistemas ou dados essenciais

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

90 Uma empresa está aplicando o processo de tratamento de incidentes

NIST.SP800-61 r2 a eventos de segurança. Quais são dois exemplos de
incidentes que estão na categoria de precursor? (Escolha duas.)

Correta Sua
Resposta Resposta

entradas de log que mostram uma resposta a uma varredura de porta

uma mensagem de alerta IDS sendo enviada

uma vulnerabilidade recém-descoberta nos servidores Web Apache

um host que foi verificado como infectado com malware

vários logins com falha de uma fonte desconhecida

Como categoria de incidente, o precursor é um sinal de que um incidente pode ocorrer no futuro. Exemplos de
precursores são entradas de log que mostram uma resposta a uma verificação de porta ou uma vulnerabilidade
recém-descoberta em servidores Web que usam o Apache.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

91 Pergunta como apresentada:

Combine a fase do ciclo de vida de resposta a incidentes NIST com a descrição.

atividades pós-incidente

contenção, erradicação e recuperação

detecção e análise

preparação

Sdentificar, analisar e validar incidentes.

Ctreinamento sobre resposta a incidentes.

Documente como os incidentes são tratados.

Implementar procedimentos para erradicar o impacto nos ativos

organizacionais.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:
Combine a fase do ciclo de vida de resposta a incidentes NIST com a descrição.

atividades pós-incidente

contenção, erradicação e recuperação

detecção e análise

preparação

Sdentificar, analisar e validar incidentes.

contenção, erradicação e recuperação

Ctreinamento sobre resposta a incidentes.

preparação

Documente como os incidentes são tratados.

atividades pós-incidente

Implementar procedimentos para erradicar o impacto nos ativos

organizacionais.

detecção e análise
92 O que é definido no elemento de política do plano de resposta a
incidentes do NIST?

Correta Sua
Resposta Resposta

as métricas usadas para medir a capacidade de resposta a incidentes em uma organização

como lidar com incidentes com base na missão e funções de uma organização

um roteiro para atualizar a capacidade de resposta a incidentes

como a equipe de resposta a incidentes de uma organização se comunicará com as partes interessadas da organização

O elemento de política do plano de resposta a incidentes do NIST detalha como os incidentes devem ser tratados com
base na missão e na função da organização.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

93 O que é especificado no elemento de plano do plano de resposta a

incidentes do NIST?

Correta Sua
Resposta Resposta

estrutura organizacional e a definição de papéis, responsabilidades e níveis de autoridade

tratamento de incidentes com base na missão da organização

métricas para medir a capacidade de resposta a incidentes e a eficácia

classificações de prioridade e gravidade dos incidentes

O NIST recomenda a criação de políticas, planos e procedimentos para estabelecer e manter um CSIRC. Um
componente do elemento do plano é desenvolver métricas para medir a capacidade de resposta a incidentes e sua
 eficácia.

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

94 Pergunta como apresentada:

Combine a parte interessada da resposta a incidentes do NIST com a função.

Garantia de Informação

Departamento legal

Suporte de TI

gerenciamento de WAN

recursos humanos

preserva evidências de ataque

projeta o orçamento

analisa as políticas para violações das diretrizes locais ou federais

executa medidas disciplinares

 desenvolve regras de firewall

Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate

Sua resposta:

Combine a parte interessada da resposta a incidentes do NIST com a função.

Garantia de Informação

Departamento legal

Suporte de TI

gerenciamento de WAN

recursos humanos

preserva evidências de ataque

Departamento legal

projeta o orçamento

recursos humanos
 analisa as políticas para violações das diretrizes locais ou federais

Suporte de TI

executa medidas disciplinares

Garantia de Informação

desenvolve regras de firewall

gerenciamento de WAN

97 Qual é a responsabilidade do departamento de recursos humanos ao

entregar um incidente de segurança conforme definido pelo NIST?

Correta Sua
Resposta Resposta

Realizar ações disciplinares se um incidente for causado por um funcionário.

Revise as políticas, planos e procedimentos de incidentes para violações das diretrizes locais ou federais.

Execute ações para minimizar a eficácia do ataque e preservar as evidências.

Coordenar a resposta ao incidente com outras partes interessadas e minimizar os danos de um incidente.

O departamento de recursos humanos pode ser chamado para executar medidas disciplinares se um incidente for
causado por um funcionário.
Esse item faz referência ao conteúdo das seguintes áreas:

CyberOps Associate