Security+




Operacje i reagowanie na incydenty

1. Mila chce wygenerować unikalny cyfrowy odcisk palca dla pliku i musi wybrać między sumą kontrolną a hashem. Którą opcję powinna wybrać i dlaczego powinna ją wybrać?

A. Hash, ponieważ jest unikalny dla pliku
B. Suma kontrolna, ponieważ weryfikuje zawartość pliku
C. Hash, ponieważ można go odwrócić, aby sprawdzić poprawność pliku
D. Suma kontrolna, ponieważ jest mniej podatna na kolizje niż hash

2. Która z poniższych czynności uniemożliwiłaby użytkownikowi zainstalowanie programu na urządzeniu mobilnym należącym do firmy?

A. Lista dozwolonych
B. Lista odmów
C. ACL
D. HIDS

3. Liam jest odpowiedzialny za monitorowanie zdarzeń bezpieczeństwa w swojej firmie. Chce zobaczyć, jak różne zdarzenia mogą się łączyć, korzystając z jego informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM). Interesuje go identyfikowanie różnych wskaźników naruszenia, które mogą wskazywać na to samo naruszenie. Które z poniższych rozwiązań byłyby dla niego najbardziej pomocne w realizacji?

A. NIDS
B. PKI
C. Pulpit korelacji
D. Panel trendów

4. Emily chce przechwytywać pakiety HTTPS za pomocą tcpdump . Jeśli usługa działa na swoim domyślnym porcie, a jej adapter Ethernet to eth0 , którego polecenia tcpdump powinna użyć?

A. tcpdump eth0 -proto https
B. tcpdump -i eth0 -proto https
C. tcpdump tcp https eth0
D. tcpdump -i eth0 port TCP 443

5. Mila przedstawia swojemu zespołowi scenariusz, a następnie zadaje im pytania o to, jak zareagowaliby, jakie problemy mogą napotkać i jak sobie z nimi poradzą. Jakie ćwiczenia prowadziła?

A. Ćwiczenie na stole
B. Przejście
C. Symulacja
D. Wiertło

6. Murali przygotowuje się do pozyskania danych z różnych urządzeń i systemów, które są celem śledztwa kryminalistycznego. Które z poniższych urządzeń jest najmniej lotne w kolejności zmienności?

A. Kopie zapasowe
B. Pamięć podręczna procesora
C. Dysk lokalny
D. RAM

7. Henry został poproszony o wyniki skanowania podatności przez osobę odpowiedzialną za incydent. Jest ciekawy, dlaczego respondent potrzebuje wyników skanowania. Jakiej odpowiedzi udzieliłbyś mu, aby wyjaśnić, dlaczego wyniki skanowania są potrzebne i przydatne?

A. Skany pokażą programy używane przez atakujących.
B. Skany pokażą wersje oprogramowania zainstalowanego przed atakiem.
C. Usługi podatne na ataki dostarczą wskazówek na temat tego, co atakujący mogli celować.
D. Skany pokażą, gdzie znajdowały się zapory i inne urządzenia sieciowe, aby pomóc w analizie incydentów.

8. Jaką fazę procesu reagowania na incydent należy umieścić w punkcie A na poniższym obrazku?



A. Symulacje
B. Recenzja
C. Odzyskiwanie
D. Łatanie

9. Nick przegląda polecenia uruchomione w systemie Windows 10 i odkrywa, że polecenie route zostało uruchomione z flagą -p. Co się stało?

A. Trasy zostały wykryte za pomocą polecenia ping.
B. Wyświetlona zostanie ścieżka trasy.
C. Dodano trasę, która będzie trwała między butami.
D. Dodano trasę, która będzie korzystać ze ścieżki podanej w poleceniu.

10. Lucca chce pozyskać informacje wywiadowcze typu open source za pomocą zautomatyzowanego narzędzia, które może wykorzystać wyszukiwarki i narzędzia takie jak Shodan. Które z poniższych narzędzi powinien wybrać?

A. curl
B. hping
C. netcat
D. kombajn

11. Brent chce użyć narzędzia, które pomoże mu analizować złośliwe oprogramowanie i ataki, a także chce objąć szeroką gamę taktyk i narzędzi, które są używane przez przeciwników. Które z poniższych jest szeroko zaimplementowane w narzędziach technicznych i obejmuje techniki i taktyki bez konieczności stosowania określonej kolejności działań?

A. Diamentowy model analizy włamań
B. Łańcuch cyberzabójstw
C. Struktura MITER ATT&CK
D. Standard CVSS

12. Ted musi zachować serwer do celów kryminalistycznych. Której z poniższych czynności nie powinien robić?

A. Wyłącz system, aby upewnić się, że dane się nie zmieniają.
B. Wyjmij dysk, gdy system jest uruchomiony, aby upewnić się, że dane się nie zmieniają.
C. Pozostaw urządzenie podłączone do sieci, aby użytkownicy mogli nadal z niego korzystać.
D. Wszystkie powyższe

13. Jaką technikę łagodzenia stosuje się, aby ograniczyć możliwość kontynuowania ataku przy jednoczesnym utrzymywaniu systemów i usług w trybie online?

A. Segmentacja
B. Izolacja
C. Nukowanie
D. Przechowywanie

14. Jessica chce przejrzeć ruch sieciowy wysyłany przez jej system Windows, aby określić, czy plik zawierający poufne dane został przesłany z systemu. Jakiego pliku dziennika systemu Windows może użyć do znalezienia tych informacji?

A. Dziennik aplikacji
B. Dziennik sieci
C. Dziennik bezpieczeństwa
D. Żadne z powyższych

15. Jakiego terminu używa się do opisania ścieżki dokumentacji do kontroli, analizy, przekazywania i ostatecznego dysponowania dowodami do cyfrowej pracy kryminalistycznej?

A. Dziennik dowodowy
B. Ścieżka papieru
C. Łańcuch dowodowy
D. Ślad cyfrowy

16. Henry chce określić, jakie usługi są w sieci, którą ocenia. Które z poniższych narzędzi zapewni mu listę usług, portów i ich statusu?

A. nmap
B. trasa
C. hping
D. netstat

17. Nathan musi wiedzieć, ile razy wystąpiło zdarzenie i chce sprawdzić plik dziennika tego zdarzenia. Które z poniższych poleceń grep powie mu, ile razy zdarzenie miało miejsce, jeśli każde zdarzenie jest rejestrowane niezależnie w pliku dziennika logfile.txt i używa unikalnego identyfikatora zdarzenia: event101 ?

A. grep logfile.txt -n 'event101'
B. grep -c 'event101' logfile.txt
C. grep logfile.txt -c 'event101'
D. grep -c event101 -i logfile.txt

18. Jacob chce się upewnić, że wszystkie obszary, na które ma wpływ incydent, zostały zaadresowane przez jego zespół reagowania na incydenty. Jakiego terminu używa się do opisania procesu relacji i komunikacji, którego używają zespoły, aby zapewnić odpowiednie traktowanie wszystkich zaangażowanych osób?

A. COOP
B. Zarządzanie interesariuszami
C. PAM
D. Planowanie komunikacji

19. Podczas gdy Susan przeprowadza kryminalistyczny przegląd dzienników z dwóch serwerów hostowanych w tym samym centrum danych, zauważa, że elementy dziennika na pierwszym serwerze pojawiły się dokładnie godzinę przed dopasowaniem zdarzeń na drugim serwerze. Jaka jest najbardziej prawdopodobna przyczyna takich dokładnych zdarzeń?

A. Atak trwał godzinę, zapewniając atakującemu dostęp do drugiej maszyny godzinę później.
B. Wpisy dziennika są nieprawidłowe, przez co zdarzenia pojawiają się w złym czasie.
C. Atakujący użył skryptu powodującego, że zdarzenia miały miejsce dokładnie co godzinę.
D. Przesunięcie czasowe powoduje, że wydarzenia wydają się występować w różnym czasie.

20. Jakie jest główne zastosowanie danych systemu nazw domen (DNS) w badaniu incydentów i monitorowaniu bezpieczeństwa operacyjnego?

A. Dane DNS są używane do przechwytywania skanów sieci.
B. Dane DNS mogą być wykorzystywane do identyfikacji ataków związanych z transferem domen.
C. Informacje z dziennika DNS mogą być wykorzystywane do identyfikowania złośliwego oprogramowania, które trafia do znanych złośliwych witryn.
D. Informacje z dziennika DNS można wykorzystać do identyfikacji nieautoryzowanych logowań.

21. Dani generuje certyfikat OpenSSL za pomocą następującego polecenia. Co ustawiła z flagą -rsa:2048 ?

openssl req -x509 -sha256 -węzły -dni 365 -nowy klucz rsa:2048
-keyout privateKey.key -out mycert.crt

A. Rok wygaśnięcia certyfikatu
B. Długość klucza w bajtach
C. Rok wygaśnięcia certyfikatu głównego
D. Długość klucza w bitach

22. Theresa chce zobaczyć ostatnie 10 wierszy pliku dziennika i zobaczyć, jak zmienia się on w miarę wprowadzania modyfikacji. Jakie polecenie powinna uruchomić w systemie Linux, do którego jest zalogowana?

A. head -f -end 10 logfile.log
B. tail -f logfile.log
C. stopa -watch -l 10 logfile.log
D. follow -tail 10 logfile.log

23. Henry chce pobrać oprogramowanie układowe z działającego systemu. Jaka jest najbardziej prawdopodobna technika, której będzie musiał użyć, aby uzyskać oprogramowanie układowe?

A. Połącz za pomocą kabla szeregowego.
B. Uzyskaj oprogramowanie układowe z pamięci za pomocą narzędzi śledczych dotyczących pamięci.

C. Uzyskaj oprogramowanie układowe z dysku za pomocą narzędzi śledczych na dysku.

D. Żadne z powyższych

24. Eric chce określić, jaka przepustowość została wykorzystana podczas włamania i dokąd został skierowany ruch. Jaką technologię może wdrożyć przed wydarzeniem, aby pomóc mu dostrzec ten szczegół i zapewnić mu skuteczne rozwiązanie do monitorowania przepustowości?

A. Zapora sieciowa
B. NetFlow
C. przepływ pakietów
D. DLP

25. Naomi uzyskała obraz dysku w ramach procesu sądowego. Chce mieć pewność, że obraz dysku pasuje do oryginału. Co powinna stworzyć i nagrać, aby to potwierdzić?

A. Trzeci obraz do porównania z oryginalnym i nowym obrazem
B. Lista katalogów pokazująca zgodność katalogów
C. Zdjęcie dwóch napędów, aby pokazać, że pasują
D. Hash dysków, aby pokazać, że ich hasze pasują

26. Ryan został poproszony o uruchomienie Nessusa w swojej sieci. Jakiego rodzaju narzędzie został poproszony o uruchomienie?

A. Fuzzer
B. Skaner podatności
C. WAF
D. Analizator protokołu
27. Jason chce mieć pewność, że dowody cyfrowe, które zbiera podczas dochodzenia kryminalistycznego, są dopuszczalne. Które z poniższych jest powszechnym wymogiem dopuszczalności dowodów?

A. To musi być istotne.
B. To musi być pogłoska.
C. Musi być na czas.
D. Musi być publiczny.

28. Który z poniższych kluczowych elementów nie jest zazwyczaj uwzględniony w projekcie planu komunikacji?

A. Dotkliwość incydentu
B. Wpływ na klienta
C. Wpływ na pracownika
D. Koszt dla organizacji

29. Rick uruchamia następujące polecenie:

cat plik1.txt plik2.txt

Co się stanie?

A. Zawartość pliku file1.txt zostanie dołączona do pliku file2.txt .
B. Wyświetlona zostanie zawartość pliku1.txt, a następnie zostanie wyświetlona zawartość pliku2.
C. Zawartość pliku file2.txt zostanie dołączona do pliku file1.txt .
D. Zawartość obu plików zostanie połączona linia po linii.

30. Michelle chce sprawdzić błędy uwierzytelniania w systemie opartym na CentOS Linux. Gdzie powinna szukać tych dzienników zdarzeń?

A. /var/log/auth.log
B. /var/log/fail
C. /var/log/events
D. /var/log/secure

31. Tytuł strony internetowej jest uważany za rodzaj informacji o stronie?

A. Podsumowanie
B. Metadane
C. Dane nagłówka
D. Ukryte dane

32. Nelson wykrył złośliwe oprogramowanie na jednym z systemów, za które jest odpowiedzialny i chce je przetestować w bezpiecznym środowisku. Które z poniższych narzędzi najlepiej nadaje się do tego testu?

A. strings
B. scanless
C. Cuckoo
D. Sn1per

33. Lucca chce wyświetlić metadane pliku, aby móc określić autora pliku. Jakiego narzędzia powinien użyć z poniższej listy?

A. Sekcja zwłok
B. strings
C. exiftool
D. grep

34. Isaac chce uzyskać obraz systemu, który zawiera system operacyjny. Jakiego narzędzia może użyć w systemie Windows, który może również przechwytywać pamięć na żywo?

A. dd
B. FTK Imager
C. Autopsy
D. WinDump

35. Jason prowadzi dochodzenie kryminalistyczne i oprócz dysków i plików odzyskał artefakty. Co powinien zrobić, aby udokumentować zdobyte artefakty?

A. Zobrazuj je za pomocą dd i upewnij się, że została wygenerowana prawidłowa suma MD5.
B. Zrób im zdjęcie, oznacz je i dodaj do dokumentacji łańcucha dostaw.
C. Skontaktuj się z organami ścigania, aby prawidłowo obsłużyć artefakty.
D. Zaangażuj radcę prawnego, aby doradził mu, jak postępować z artefaktami w dochodzeniu.

36. Gary chce sprawdzić serwery poczty na przykład.com. Jakie narzędzie i polecenie może użyć do ustalenia tego?

A. nslookup -query =mx example.com
B. ping - e-mail example.com
C. smtp -mx przykład.com
D. email -lookup -mx example.com

37. Które z poniższych najlepiej nadaje się do analizy ruchu SIP na żywo?

A. Pliki dziennika
B. Wireshark
C. Nessusa
D. SIPper

38. Andrea chce identyfikować usługi na zdalnym komputerze i chce, aby usługi były oznaczone nazwami usług i innymi typowymi szczegółami. Które z poniższych narzędzi nie dostarczy tych informacji?

A. netcat
B. Sn1per
C. Nessusa
D. nmap

39. Józef pisze raport sądowy i chce mieć pewność, że zawiera odpowiednie szczegóły. Które z poniższych nie są zazwyczaj uwzględniane podczas omawiania analizy systemu?

A. Walidacja ustawień czasu zegara systemowego
B. Używany system operacyjny
C. Metody użyte do stworzenia obrazu
D. Zdjęcie osoby, od której zabrano system

40. Greg uważa, że atakujący używa hasła brute-force przeciwko systemowi Linux, za który jest odpowiedzialny. Jakiego polecenia mógłby użyć, aby ustalić, czy tak jest w rzeczywistości?

A. grep "Nieudane hasło" /var/log/auth.log
B. tail /etc/bruteforce.log
C. head /etc/bruteforce.log
D. grep "Nieudane logowanie" /etc/log/auth.log

41. Elaine chce ustalić, jakie strony internetowe ostatnio odwiedzał użytkownik, korzystając z zawartości dysku twardego nabytego w wyniku kryminalistyki. Która z poniższych lokalizacji nie byłaby przydatna w jej śledztwie?

A. Pamięć podręczna przeglądarki
B. Historia przeglądarki
C. Zakładki przeglądarki
D. Dane sesji

42. Jason chce pozyskać dane śledcze dotyczące sieci. Jakiego narzędzia powinien użyć, aby zebrać te informacje?

A. nmap
B. Nessusa
C. Wireshark
D. SNMP

43. Ananth został poinformowany, że atakujący czasami używają ping do mapowania sieci. Jakie informacje zwrócone przez polecenie ping można najskuteczniej wykorzystać do określenia topologii sieci?

A. TTL
B. Pakiety wysłane
C. Otrzymane pakiety
D. czas tranzytu

44. Susan odkryła dowody na kompromis, który miał miejsce około pięć miesięcy temu. Chce przeprowadzić dochodzenie w sprawie incydentu, ale obawia się, czy dane będą istnieć. Jakie zasady określają, jak długo dzienniki i inne dane są przechowywane w większości organizacji?

A. Polityka klasyfikacji danych organizacji
B. Polityka tworzenia kopii zapasowych organizacji
C. Zasady przechowywania organizacji
D. Zasady prawne dotyczące wstrzymania organizacji

45. Selah wykonuje w systemie następujące polecenie. Co osiągnęła?
dd if=/dev/zero of=/dev/sda bs=4096

A. Skopiowanie dysku /dev/zero na dysk /dev/sda
B. Formatowanie /dev/sda
C. Zapisywanie zer do wszystkich /dev/sda
D. Klonowanie /dev/sda1

46. Jim przygotowuje prezentację na temat procesu reagowania na incydenty w swojej organizacji i chce wyjaśnić, dlaczego komunikacja z zaangażowanymi grupami i osobami w całej organizacji jest ważna. Który z poniższych jest głównym powodem, dla którego organizacje komunikują się i angażują pracowników z obszarów dotkniętych problemem w całej organizacji w działaniach związanych z reagowaniem na incydenty?

A. Zgodność z prawem
B. Zasady przechowywania
C. Zarządzanie interesariuszami
D. COOP

47. Elle prowadzi ćwiczenie dla swojej organizacji i chce przeprowadzić ćwiczenie, które jest jak najbardziej zbliżone do rzeczywistego wydarzenia. Jakiego rodzaju wydarzenie powinna prowadzić, aby pomóc swojej organizacji uzyskać tego rodzaju praktykę w świecie rzeczywistym?

A. Symulacja
B. Ćwiczenie na stole
C. Przejście
D. Gra wojenna

48. Erin chce określić, jakie urządzenia są w sieci, ale nie może użyć skanera portów ani skanera luk w zabezpieczeniach. Która z poniższych technik zapewni najwięcej danych o systemach aktywnych w sieci?

A. Uruchom Wireshark w trybie bezładnym.
B. Zapytaj DNS o wszystkie rekordy A w domenie.
C. Przejrzyj tabele CAM dla wszystkich przełączników w sieci.
D. Uruchom netstat na lokalnej stacji roboczej.

49. Jaki komponent SIEM zbiera dane i wysyła je do SIEM do analizy?

A. Poziom alertu
B. Analizator trendów
C. Czujnik
D. Próg czułości

50. Alaina ustawia swoje rozwiązanie antymalware, aby przenieść zainfekowane pliki do bezpiecznej lokalizacji bez usuwania ich z systemu. Jaki rodzaj ustawienia włączyła?

A. Czystka
B. Głębokie zamrożenie
C. Kwarantanna
D. Retencja

51. Starszy wiceprezes w organizacji, w której pracuje Chuck, zgubił niedawno telefon, który zawierał poufne plany biznesowe oraz informacje o dostawcach, projektach i innych ważnych materiałach. Po rozmowie z wiceprezesem Chuck dowiaduje się, że telefon nie miał ustawionego hasła, nie był szyfrowany i nie można go było zdalnie wyczyścić. Jaki rodzaj kontroli powinien zalecić Chuck swojej firmie, aby zapobiec takim problemom w przyszłości?

A. Użyj technik ograniczania na dotkniętych telefonach.
B. Wdróż system DLP.
C. Wdróż system MDM.
D. Odizoluj dotknięte telefony.

52. Szkoła, w której pracuje Gabby, chce uniemożliwić uczniom przeglądanie stron internetowych niezwiązanych z pracą szkolną. Jaki rodzaj rozwiązania najlepiej nadaje się, aby temu zapobiec?

A. Filtr treści
B. DLP
C. Zapora sieciowa
D. IDS

53. Frank wie, że informacje sądowe, którymi jest zainteresowany, są przechowywane na dysku twardym systemu. Jeśli chce zachować porządek zmienności, który z poniższych elementów powinien zostać przechwycony przez kryminalistykę po dysku twardym?

A. Pamięci podręczne i rejestry
B. Kopie zapasowe
C. Pamięć wirtualna
D. RAM
v 54. Greg uruchamia następujące polecenie. Co się dzieje?
chmod -R 755 /home/greg/pliki

A. Wszystkie pliki w /home/greg/ są ustawione tak, aby umożliwić grupie ich odczytywanie, zapisywanie i wykonywanie, a Greg i cały świat mogą je tylko czytać.
B. Uprawnienia do odczytu, zapisu i wykonywania zostaną usunięte ze wszystkich plików w katalogu /home/greg/files.
C. Wszystkie pliki w /home/greg/files są ustawione tak, aby Greg mógł je czytać, pisać i wykonywać, a grupa i świat mogą je tylko czytać.
D. Zostanie utworzony nowy katalog z uprawnieniami do odczytu, zapisu i wykonywania dla świata oraz uprawnieniami tylko do odczytu dla Grega i grupy, w której się znajduje.

55. Karol chce zapewnić, że praca kryminalistyczna, którą wykonuje, nie może zostać odrzucona. Jak może zweryfikować swoje zaświadczenia i dokumentację, aby zapewnić niezaprzeczalność?

A. Zaszyfruj wszystkie dane kryminalistyczne.
B. Podpisuj cyfrowo zapisy.
C. Utwórz sumę kontrolną MD5 wszystkich obrazów.
D. Wszystkie powyższe

56. Diana chce przechwycić zawartość pamięci fizycznej za pomocą narzędzia wiersza poleceń w systemie Linux. Które z poniższych narzędzi może wykonać to zadanie?

A. ramdump
B. system -zrzut
C. memcpy
D. memdump

57. Valerie chce przechwycić plik stronicowania z systemu Windows. Gdzie może znaleźć akta do przejęcia?

A. C:\Windows\zamień
B. C:\pagefile.sys
C. C:\Windows\users\swap.sys
D. C:\swap\pagefile.sys

58. Megan musi przeprowadzić dochodzenie kryminalistyczne dotyczące maszyny wirtualnej (VM) hostowanej w środowisku VMware w ramach działań związanych z odpowiedzią na incydent. Jaki jest dla niej najlepszy sposób na zebranie maszyny wirtualnej?

A. Jako migawka przy użyciu wbudowanych narzędzi VMware
B. Używając dd do zewnętrznego dysku
C. Używając dd do dysku wewnętrznego
D. Za pomocą urządzenia do kryminalistyki po wyjęciu dysków serwera

59. Jaka koncepcja kryminalistyczna jest kluczem do ustalenia pochodzenia artefaktu kryminalistycznego?

A. Prawo do audytu
B. Konserwacja
C. Łańcuch dowodowy
D. Terminy

60. Jaką rolę w działaniach kontrwywiadowczych odgrywa najczęściej kryminalistyka cyfrowa?

A. Służą do ustalenia, jakie informacje zostały skradzione przez szpiegów.
B. Służą do analizy narzędzi i technik stosowanych przez agencje wywiadowcze.
C. Są wymagane do celów szkoleniowych dla agentów wywiadu.
D. Nie odgrywają roli w kontrwywiadzie.

61. Która z poniższych grup nie jest zwykle częścią zespołu reagowania na incydenty?

A. Egzekwowanie prawa
B. Analitycy bezpieczeństwa
C. Zarządzanie
D. Personel ds. komunikacji

62. Bob musi zablokować ruch Secure Shell (SSH) między dwiema strefami bezpieczeństwa. Która z poniższych reguł zapory iptables dla systemu Linux zablokuje ruch z sieci 10.0.10.0/24 do systemu, w którym działa reguła?

A. iptables -A INPUT -p tcp --dport 22 -i eth0 -s
10.0.10.0/24 -j DROP
B. iptables -D WYJŚCIE -p udp -dport 21 -i eth0 -s
10.0.10.255 -j DROP
C. iptables -A WYJŚCIE -p udp --dport 22 -i eth0 -s
10.0.10.255 -j BLOCK
D. iptables -D INPUT -p udp --dport 21 -I eth0 -s
10.0.10.0/24 -j DROP

63. Maria chce dodać wpisy do dziennika systemu Linux, aby były wysyłane do jej urządzenia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) po wystąpieniu określonych zdarzeń skryptowych. Jakiego narzędzia Linuksa może do tego użyć?

A. cat
B. slogd
C. logger
D. tail

64. Organizacja Amandy nie posiada obecnie planu reagowania na incydenty. Który z poniższych powodów nie jest tym, który powinna przedstawić kierownictwu na poparcie jego utworzenia?

A. Zapobiegnie to występowaniu incydentów.
B. Pomoże ratownikom odpowiednio zareagować na stres.
C. Przygotuje organizację na incydenty.
D. Może być wymagane ze względów prawnych lub zgodności.

65. Który z poniższych scenariuszy z najmniejszym prawdopodobieństwem spowoduje, że odzyskanie danych będzie możliwe?

A. Plik jest usuwany z dysku.
B. Plik jest zastępowany mniejszym plikiem.
C. Dysk twardy jest szybko formatowany.
D. Dysk jest rozmagnesowany.

66. Henry nagrywa nagranie wideo z usunięcia dysku z systemu, gdy przygotowuje się do śledztwa sądowego. Jaki jest najbardziej prawdopodobny powód, dla którego Henry nagrywa wideo?

A. Aby spełnić kolejność zmienności
B. Ustalenie winy ponad wszelką wątpliwość
C. Aby zapewnić ochronę danych
D. Aby udokumentować łańcuch dowodowy i pochodzenie napędu

67. Adam chce użyć narzędzia do edycji zawartości dysku. Które z poniższych narzędzi najlepiej nadaje się do tego celu?

A. Sekcja zwłok
B. WinHex
C. dd
D. FTK Imager

68. Jill chce stworzyć listę kontrolną zawierającą wszystkie kroki w odpowiedzi na konkretny incydent. Jaki rodzaj artefaktu powinna utworzyć, aby to zrobić w swoim środowisku orkiestracji zabezpieczeń, automatyzacji i reagowania (SOAR)?

A. Plan BC
B. Poradnik
C. Plan DR
D. Runbook

69. Alaina chce użyć łamacza haseł przeciwko haszowanym hasłom. Który z poniższych elementów jest dla niej najważniejszy, zanim to zrobi?

A. Długość haseł
B. Data ostatniej zmiany haseł
C. Metoda haszowania używana do haseł
D. Metoda szyfrowania używana do haseł

70. Vincent chce dopilnować, aby jego pracownicy nie instalowali popularnej gry na wydanych im stacjach roboczych. Jaki rodzaj kontroli mógłby wdrożyć w ramach swojego rozwiązania w zakresie bezpieczeństwa punktów końcowych, aby najskuteczniej to powstrzymać?

A. Lista zatwierdzonych wniosków
B. DLP
C. Filtr treści
D. Lista blokowania aplikacji

71. Charlene chce skonfigurować narzędzie, które pozwoli jej zobaczyć wszystkie systemy, z którymi łączy się dany adres IP i ile danych jest przesyłanych do tego adresu IP według portu i protokołu. Które z poniższych narzędzi nie spełnia tej potrzeby?

A. IPFIX
B. IPSec
C. sFlow
D. NetFlow

72. Awaria systemu, za który odpowiada Sam, a Sam podejrzewa, że przyczyną problemu mogło być złośliwe oprogramowanie. Który z poniższych plików najprawdopodobniej zawiera informacje, jeśli złośliwe oprogramowanie jest pakietem bezplikowym, rezydującym w pamięci?

A. Plik wymiany
B. Dziennik systemu Windows
C. Plik zrzutu
D. Dziennik bezpieczeństwa Windows

73. Którego z poniższych poleceń można użyć do wskazania trasy do zdalnego systemu na stacji roboczej z systemem Windows 10?

A. traceroute
B. arp
C. tracert
D. netstat

74. Narzędzia takie jak PRTG i Cacti, które monitorują informacje SNMP, są wykorzystywane do dostarczania jakiego rodzaju informacji do dochodzenia w sprawie incydentu?

A. Dzienniki uwierzytelniania
B. Monitorowanie przepustowości
C. Informacje z dziennika systemowego
D. Metadane wiadomości e-mail

75. Która z poniższych kwestii nie jest kluczowa przy rozważaniu śledztw śledczych na miejscu czy w chmurze?

A. Przepisy dotyczące powiadamiania o naruszeniu danych
B. Klauzule dotyczące prawa do badania
C. Wymagania prawne
D. Pochodzenie

76. Firma, w której pracuje Charles, miała niedawno skradziony firmowy telefon komórkowy, co spowodowało naruszenie bezpieczeństwa danych. Karol chce zapobiec przyszłym incydentom o podobnym charakterze. Która z poniższych technik ograniczania ryzyka byłaby najskuteczniejsza?

A. Włącz FDE przez MDM.
B. Zmiana zapory
C. Reguła DLP
D. Nowa reguła filtrowania adresów URL

77. Henry uruchamia następujące polecenie:

dig@8.8.8.8 przykład.com

Co to zrobi?

A. Wyszukaj na serwerze DNS example.com hosta 8.8.8.8.
B. Przeszukaj informacje DNS 8.8.8.8, np. example.com.
C. Wyszukaj nazwę hosta 8.8.8.8 .
D. Przeprowadź gromadzenie danych wywiadowczych typu open source na temat 8.8.8.8 i example.com .

78. Greg zbiera kryminalistyczny obraz dysku za pomocą programu FTK Imager i chce się upewnić, że ma poprawną kopię. Co powinien zrobić dalej?

A. Uruchom polecenie cmp systemu Linux, aby porównać oba pliki.
B. Oblicz skrót AES-256 dwóch dysków.
C. Porównaj skrót MD5 lub SHA-1 dysku z obrazem.
D. Porównaj MD5 każdego pliku na dysku z MD5 każdego pliku na obrazie.

79. Adam musi wyszukać ciąg w dużym pliku tekstowym. Którego z poniższych narzędzi powinien użyć, aby najskuteczniej znaleźć każde wystąpienie szukanego tekstu?

A. cat
B. grep
C. head
D. tail

80. Angela chce użyć segmentacji jako części swoich technik łagodzenia. Które z poniższych najlepiej opisuje podejście segmentacyjne do bezpieczeństwa sieci?

A. Usuwanie potencjalnie zainfekowanych lub zaatakowanych systemów z sieci
B. Korzystanie z zapór sieciowych i innych narzędzi w celu ograniczenia rozprzestrzeniania się aktywnej infekcji
C. Podział sieci na segmenty na podstawie ról użytkownika i systemu oraz wymagań bezpieczeństwa
D. Dodawanie systemów lub urządzeń zabezpieczających w celu zapobiegania utracie i ujawnieniu danych

81. Charlene została poproszona o napisanie planu ciągłości działania (BC) dla swojej organizacji. Które z poniższych rozwiązań najlepiej poradzi sobie z planem ciągłości działania?

A. Jak reagować podczas katastrofy spowodowanej przez człowieka?
B. Jak utrzymać działanie organizacji podczas awarii systemu?
C. Jak reagować podczas klęski żywiołowej?
D. Wszystkie powyższe
82. Brad chce utworzyć certyfikat x.509 z podpisem własnym. Do wykonania tego zadania jakiego można użyć z następujących narzędzi?

A. hping
B. Apache
C. OpenSSL
D. scp

83. Cameron chce przetestować hasła powszechnie używane w swojej organizacji. Które z poniższych poleceń byłyby najbardziej przydatne, gdyby wiedział, że nazwa, maskotka i podobne terminy są często używane jako hasła?

A. john --wordlist "mojesłowa.txt" --passwordfile.txt
B. ssh -test -"nazwa maskotki, nazwa organizacji"
C. john -pokaż plik z hasłem.txt
D. crack -hasła -lista słów "mascotname, orgname"

84. Która z poniższych funkcji nie jest wbudowana w autopsję?

A. Obrazowanie dysku
B. Generowanie osi czasu
C. Automatyczne filtrowanie obrazu
D. Wizualizacja komunikacji

85. Firma Alainy rozważa podpisanie umowy z dostawcą usług w chmurze i chce ustalić, jak bezpieczne są jej usługi. Którą z poniższych metod prawdopodobnie będzie w stanie użyć, aby to ocenić?

A. Poproś o pozwolenie na skanowanie pod kątem luk w usługach produkcyjnych dostawcy.
B. Przeprowadź audyt organizacji.
C. Przegląd istniejącego audytu SOC.
D. Zatrudnić osobę trzecią do audytu organizacji.

86. Erin pracuje nad Cyber Kill Chain i zakończyła fazę eksploatacji w ramach testu penetracyjnego. Jaki byłby następny krok?

A. Ruch boczny
B. Eskalacja uprawnień
C. Zaciemnianie
D. Eksfiltracja

87. Dana chce wykorzystać ramy eksploatacji do przeprowadzenia realistycznego testu penetracyjnego swojej organizacji. Które z poniższych narzędzi spełniłoby to wymaganie?

A. Cuckoo
B. theHarvester
C. Nessus
D. Metasploit
88. Cynthia została poproszona o zbudowanie podręcznika dla systemu SOAR , z którego korzysta jej organizacja. Co zbuduje?

A. Zestaw reguł z akcjami, które zostaną wykonane w przypadku wystąpienia zdarzenia z wykorzystaniem danych zebranych lub dostarczonych do systemu SOAR
B. Zautomatyzowany proces reagowania na incydenty, który zostanie uruchomiony w celu wspierania zespołu reagowania na incydenty (IR)
C. Skrypt oparty na analizie trendów, który dostarczy instrukcje zespołowi IR
D. Zestaw działań, które zespół wykona, aby użyć SOAR do reagowania na incydent

89. Jakiego kroku odpowiedzi na incydent brakuje na poniższym obrazku?



A. Ciągłość działania
B. Powstrzymywanie
C. Odpowiedź
D. Odkrycie

90. Korporacyjne centrum danych Gurvinder znajduje się na obszarze, który FEMA zidentyfikowała jako część 100-letniej równiny zalewowej. Wie, że w danym roku istnieje szansa, że jego centrum danych może zostać całkowicie zalane i pod wodą, i chce mieć pewność, że jego organizacja wie, co zrobić, jeśli tak się stanie. Jaki plan powinien napisać?

A. Ciągłość planu operacyjnego
B. Plan ciągłości działania
C. Plan ubezpieczenia od powodzi
D. Plan odzyskiwania po awarii

91. Frank chce określić, gdzie występuje opóźnienie sieciowe między jego komputerem a zdalnym serwerem. Które z poniższych narzędzi najlepiej nadaje się do identyfikacji zarówno używanej trasy, jak i systemów, które reagują w odpowiednim czasie?

A. ping
B. tracert
C. ścieżka
D. netcat

92. Derek chce zobaczyć, jakie informacje DNS mogą być odpytywane dla jego organizacji, a także jakie nazwy hostów i subdomeny mogą istnieć. Które z poniższych narzędzi może dostarczyć zarówno informacje o zapytaniach DNS, jak i informacje wyszukiwania Google dotyczące hostów i domen za pomocą jednego narzędzia?

A. dnsenum
B. dig
C. host
D. dnscat

93. Jill została poproszona o wykonanie odzyskiwania danych ze względu na jej umiejętności kryminalistyczne. Co powinna powiedzieć osobie proszącej o odzyskanie danych, aby dać jej największą szansę na przywrócenie utraconych plików, które zostały przypadkowo usunięte?

A. Natychmiast uruchom ponownie komputer za pomocą przełącznika resetowania, aby utworzyć zrzut pamięci utraconego pliku.
B. Wyłącz "bezpieczne usuwanie", aby łatwiej było odzyskać pliki.
C. Nie zapisuj żadnych plików ani nie wprowadzaj żadnych zmian w systemie.
D. Wszystkie powyższe

94. Jaka faza następuje po ruchu bocznym w łańcuchu cyberzabójstw?

A. Eksfiltracja
B. Wyzysk
C. Antykryminalistyka
D. Eskalacja uprawnień

95. Veronica zakończyła fazę odbudowy swojej organizacji z planem reagowania na incydenty. W jaką fazę powinna przejść dalej?

A. Przygotowanie
B. Wyciągnięte wnioski
C. Odzyskiwanie
D. Dokumentacja

96. Michelle została poproszona o odkażenie wielu dysków, aby zapewnić, że wrażliwe dane nie zostaną ujawnione, gdy systemy są usuwane z eksploatacji. Które z poniższych nie jest prawidłowym sposobem dezynfekcji dysków twardych?

A. Fizyczne zniszczenie
B. Rozmagnesowanie
C. Szybkie formatowanie dysków
D. Zerowanie dysków

97. Bart bada incydent i musi zidentyfikować twórcę dokumentu Microsoft Office. Gdzie mógłby znaleźć tego typu informacje?

A. W nazwie pliku
B. W plikach dziennika Microsoft Office
C. W dzienniku aplikacji Windows
D. W metadanych pliku

98. Nathaniel chce przepuścić Chrome przez zaporę sieciową Windows Defender. Jaki rodzaj zmiany reguły zapory będzie musiał na to zezwolić?

A. Zezwól na ruch TCP 80 i 443 z systemu do Internetu.
B. Dodaj Chrome do dozwolonych aplikacji Windows Defender Firewall.
C. Zezwól na ruch TCP 80 i 443 z Internetu do systemu.
D. Wszystkie powyższe

99. Nathan chce wykonywać zapytania whois na wszystkich hostach w sieci klasy C. Które z poniższych narzędzi może to zrobić, a także być używane do automatycznego wykrywania nieciągłych bloków IP?

A. netcat
B. dnsenum
C. dig
D. nslookup

100. Jakie kluczowe narzędzie kryminalistyczne polega na prawidłowym ustawieniu zegarów systemowych, aby działać poprawnie?
A. Haszowanie dysku
B. Kalendarium
C. Akwizycja dysku kryminalistycznego
D. Analiza metadanych pliku

101. Valerie pisze podręczniki kryminalistyczne swojej organizacji i wie, że stan, w którym działa, ma prawo powiadamiania o naruszeniu danych. Na który z poniższych kluczowych elementów to prawo ma największy wpływ?

A. Czy Valerie wezwie policję o pomoc w dochodzeniu sądowym?
B. Maksymalny czas, po którym musi powiadomić klientów o naruszeniach danych wrażliwych
C. Rodzaje i poziomy certyfikacji, które musi utrzymywać jej personel
D. Maksymalna liczba mieszkańców, których może powiadomić o naruszeniu

102. W ramach odpowiedzi na naruszenie Naomi odkrywa, że numery ubezpieczenia społecznego (SSN) zostały wysłane w arkuszu kalkulacyjnym pocztą elektroniczną przez atakującego, który przejął kontrolę nad stacją roboczą w centrali jej firmy. Naomi chce mieć pewność, że z jej środowiska nie jest wysyłanych więcej numerów SSN. Jaki rodzaj techniki łagodzenia najprawdopodobniej zapobiegnie temu, jednocześnie pozwalając na kontynuowanie operacji w jak najbardziej normalny sposób?

A. Oprogramowanie antymalware zainstalowane na bramie poczty e-mail
B. Zapora blokująca wszystkie wychodzące wiadomości e-mail
C. Reguła DLP blokująca numery SSN w wiadomościach e-mail
D. Reguła IDS blokująca numery SSN w wiadomościach e-mail

103. Troy chce przejrzeć metadane dotyczące otrzymanego e-maila, aby określić, z jakiego systemu lub serwera wysłano e-mail. Gdzie może znaleźć te informacje?

A. W stopce wiadomości e-mail
B. W polu do:
C. W nagłówkach wiadomości e-mail
D. W od: pole

104. Henry współpracuje z lokalną policją w sprawie kryminalistycznej i odkrywa, że potrzebuje danych od usługodawcy w innym stanie. Jaki problem prawdopodobnie ograniczy ich zdolność do pozyskiwania danych od usługodawcy?

A. Jurysdykcja
B. Miejsce
C. Prawodawstwo
D. Łamanie przepisów

105. Olivia chce przetestować siłę haseł w systemach w swojej sieci. Które z poniższych narzędzi najlepiej nadaje się do tego zadania?
A. John the Ripper
B. Tęczowe tabele
C. Crack.it
D. theHunter

106. Jaka amerykańska agencja federalna odpowiada za COOP?

A. USDA
B. FEMA
C. NSA
D. FBI

107. Elaine chce napisać serię skryptów zbierających informacje o konfiguracji zabezpieczeń ze stacji roboczych z systemem Windows 10. Jakiego narzędzia powinna użyć do wykonania tego zadania?

A. Bash
B. PowerShell
C. Pythona
D. SSH

108. W ramach odpowiedzi na incydent, Ramon chce ustalić, co zostało powiedziane podczas połączenia Voice over IP (VoIP). Które z poniższych źródeł danych zapewnią mu dźwięk z rozmowy?
A. Dzienniki menedżera połączeń
B. Dzienniki SIP
C. Przechwytywanie ruchu z telefonu przez Wireshark
D. Żadne z powyższych

109. Isabelle chce zebrać informacje o tym, z jakimi systemami łączy się host, jaki ruch jest wysyłany i podobne szczegóły. Która z poniższych opcji nie pozwoliłaby jej na wykonanie tego zadania?

A. IPFIX
B. NetFlow
C. NXLo
D. sFlow

110. W ramach procesu reagowania na incydenty Pete umieszcza skompromitowany system w utworzonej przez siebie wirtualnej sieci LAN (VLAN), w której mieści się tylko ten system i nie ma dostępu do Internetu. Jakiej techniki łagodzenia użył?

A. Izolacja
B. Powstrzymywanie
C. Segmentacja
D. Zwalczanie

111. Lucca musi przeprowadzić badanie kryminalistyczne działającej maszyny wirtualnej (VM). Jaki artefakt sądowy powinien nabyć?

A. Obraz pamięci na żywo przy użyciu FTK Imager z VM
B. Dodaj obraz obrazu dysku maszyny wirtualnej
C. Migawka maszyny wirtualnej przy użyciu bazowego środowiska wirtualizacji
D. Wszystkie powyższe

112. James ma plik PCAP, który zapisał podczas wykonywania ćwiczenia reagowania na incydent. Chce ustalić, czy jego system zapobiegania włamaniom (IPS) może wykryć atak po skonfigurowaniu nowych reguł wykrywania. Jakie narzędzie pomoże mu wykorzystać plik PCAP do testów?

A. hping
B. tcpreplay
C. tcpdump
D. Cuckoo

113. Jaki typ pliku jest tworzony, gdy w systemie Windows pojawia się niebieski ekran śmierci?
A. Dziennik bezpieczeństwa
B. Niebieski dziennik
C. Plik zrzutu
D. Zrzut tcp

114. Ed chce mieć pewność, że kompromis w jego sieci nie rozprzestrzeni się na części sieci o różnych poziomach bezpieczeństwa. Jakiej techniki łagodzącej powinien użyć przed atakiem, aby w tym pomóc?

A. Izolacja
B. Fragmentacja
C. Poziomowanie
D. Segmentacja

115. Derek nabył ponad 20 dysków twardych w ramach śledztwa kryminalistycznego. Jaki kluczowy proces jest ważny, aby zapewnić, że każdy dysk jest odpowiednio śledzony i zarządzany w czasie?

A. Oznaczanie dysków
B. Robienie zdjęć każdego dysku
C. Oznaczenie każdego dysku kolejnością zmienności
D. Przesłuchanie każdej osoby, której napęd jest sfotografowany

116. Jaki termin opisuje własność, opiekę i nabywanie cyfrowych artefaktów i obrazów kryminalistycznych?

A. E-odkrywanie
B. Pochodzenie
C. Jurysdykcja
D. Zmienność

117. Elle chce pozyskać pamięć na żywo (RAM) z komputera, który jest aktualnie włączony. Które z poniższych narzędzi najlepiej nadaje się do pozyskiwania zawartości pamięci systemu?

A. Autopsy
B. Ramy dotyczące zmienności
C. dd
D. netcat

118. Randy uważa, że źle skonfigurowany firewall blokuje ruch wysyłany z niektórych systemów w jego sieci do jego serwera WWW. Wie, że ruch powinien przychodzić jako HTTPS do jego serwera internetowego i chce sprawdzić, czy ruch jest odbierany. Jakiego narzędzia może użyć do sprawdzenia swojej teorii?

A. tracert
B. Sn1per
C. traceroute
D. Wireshark

119. Ryan chce zaimplementować elastyczne i niezawodne środowisko zdalnego rejestrowania dla swoich systemów Linux. Które z poniższych narzędzi najmniej spełnia to wymaganie?

A. rsyslog
B. syslog
C. NXLo
D. syslog-ng

120. Susan czytała o nowo odkrytym exploicie i chce przetestować swoje reguły IPS, aby sprawdzić, czy przykładowy kod będzie działał. Aby skorzystać z exploita, musi wysłać specjalnie spreparowany pakiet UDP na serwer DHCP. Jakiego narzędzia może użyć do stworzenia i wysłania tego testowego exploita, aby sprawdzić, czy zostanie wykryty?

A. hping
B. scanless
C. curl
D. pathping

121. Valerie chce sprawdzić, czy na jej aplikację internetową w systemie Linux nastąpił atak typu SQL injection. Który plik dziennika powinna sprawdzić pod kątem tego typu informacji?

A. Dziennik bezpieczeństwa
B. Dziennik DNS
C. Dziennik uwierzytelniania
D. Dziennik serwera WWW

122. Firma Olivii doświadczyła naruszenia i uważa, że osoby atakujące były w stanie uzyskać dostęp do serwerów internetowych firmy. Istnieją dowody, że klucze prywatne certyfikatów dla serwera zostały ujawnione i że hasła do certyfikatów były przechowywane w tym samym katalogu. Jakie działania powinna podjąć Olivia, aby poradzić sobie z tym problemem?

A. Unieważnij certyfikaty.
B. Zmień hasło certyfikatu.
C. Zmień klucz prywatny dla certyfikatu.
D. Zmień klucz publiczny dla certyfikatu.

123. Firma Jeana przygotowuje się do sporu z inną firmą, która według nich wyrządziła szkody organizacji Jeana. Jaki rodzaj działań prawnych powinien podjąć prawnik Jeana, aby zapewnić, że firma zachowa akta i informacje związane ze sprawą sądową?

A. List z żądaniem łańcucha dostaw
B. Powiadomienie o e-Discovery
C. Legalne zawiadomienie o wstrzymaniu
D. Rząd zmienności

124. Cynthia chce wyświetlić wszystkie aktywne połączenia w systemie Windows. Jakie polecenie może wykonać, aby to zrobić?

A. route
B. netstat -a
C. netstat -c
D. hping

125. Jaki rodzaj łagodzenia umieszcza złośliwy plik lub aplikację w bezpiecznym miejscu do przyszłego przeglądu lub badania?

A. Powstrzymywanie
B. Kwarantanna
C. Izolacja
D. Usunięcie

126. Jaka lokalizacja jest powszechnie używana dla przestrzeni wymiany Linuksa?

A. \ root \ swap
B. \etc\swap
C. \proc\swap
D. Oddzielna przegroda

127. Marco prowadzi śledztwo kryminalistyczne i przygotowuje się do wyciągnięcia ośmiu różnych urządzeń pamięci masowej z komputerów, które będzie analizować. Czego powinien używać do śledzenia dysków podczas ich pracy?

A. Tagi z systemem, numerem seryjnym i innymi informacjami
B. Sumy kontrolne MD5 napędów
C. Znaczniki czasu zebrane z dysków
D. Żadne z powyższych; dyski można zidentyfikować na podstawie zawartych w nich danych

128. Isaac wykonuje następujące polecenie za pomocą netcat :

nc -v 10.11.10.1 1-1024

Co on zrobił?

A. Otwarto stronę internetową
B. Połączony ze zdalną powłoką
C. Otwarto lokalny słuchacz powłoki
D. Wykonano skanowanie portu

129. Tony pracuje dla dużej firmy z wieloma oddziałami. Zidentyfikował incydent w toku w jednej lokalizacji, która jest podłączona do wielostanowiskowego intranetu organizacji. Która z poniższych opcji najlepiej nadaje się do zachowania funkcji organizacji i ochrony jej przed problemami w tej lokalizacji?

A. Izolacja
B. Powstrzymywanie
C. Segmentacja
D. Żadne z powyższych

130. Które z poniższych środowisk z najmniejszym prawdopodobieństwem dopuszcza klauzulę dotyczącą prawa do audytu w umowie?

A. Miejsce kolokacji centrum danych w Twoim stanie
B. Wynajmowany obiekt na siedzibę firmy
C. Dostawca serwerów w chmurze
D. Obiekt kolokacji centrum danych w tym samym kraju, ale nie w tym samym stanie

131. Organizacja Alainy cierpi z powodu udanych ataków phishingowych, a Alaina zauważa nową wiadomość e-mail z łączem do strony phishingowej. Która z poniższych opcji odpowiedzi najprawdopodobniej powstrzyma atak phishingowy na jego użytkowników?

A. WAF
B. Łatka
C. Lista dozwolonych
D. Filtr URL

132. Ben zapisuje listę kontrolną kroków, które jego organizacja wykona w przypadku infekcji złośliwym oprogramowaniem kryptograficznym. Jaki rodzaj dokumentu odpowiedzi stworzył?

A. Poradnik
B. Plan DR
C. Plan BC
D. Runbook

133. Która z poniższych informacji nie jest informacjami, które można zebrać z systemu za pomocą polecenia arp?

A. Adres IP systemu lokalnego
B. Adresy MAC ostatnio rozwiązanych hostów zewnętrznych
C. Czy adres IP jest dynamiczny czy statyczny?
D. Adresy MAC ostatnio rozwiązanych hostów lokalnych

134. Do jakiego dziennika Journalctl zapewni dostęp Selah?
A. Dziennik zdarzeń
B. Dziennik uwierzytelniania
C. Dziennik systemowy
D. Dziennik uwierzytelniania

135. Jaka faza procesu reagowania na incydent często wiąże się z dodaniem reguł zapory i systemów poprawek w celu rozwiązania incydentu?

A. Przygotowanie
B. Zwalczanie
C. Odzyskiwanie
D. Przechowywanie

136. Gary chce użyć narzędzia, które pozwoli mu pobierać pliki przez HTTP i HTTPS, SFTP i TFTP z tego samego skryptu. Które narzędzie wiersza poleceń powinien wybrać z poniższej listy?

A. curl
B. hping
C. theHarvester
D. nmap

137. Tim chce sprawdzić stan infekcji złośliwym oprogramowaniem w swojej organizacji za pomocą urządzenia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) organizacji. Jaki panel SIEM powie mu o tym, czy w ciągu ostatnich kilku dni było więcej infekcji złośliwym oprogramowaniem niż zwykle?

A. Panel alertów
B. Deska rozdzielcza czujników
C. Panel trendów
D. Pulpit nawigacyjny przepustowości

138. Warren zbiera informacje o incydencie i chce śledzić raport od użytkownika końcowego. Jaka cyfrowa technika kryminalistyczna jest często stosowana, gdy użytkownicy końcowi stanowią kluczową część wstępnego zgłoszenia incydentu?

A. E-mail kryminalistyczny
B. Wywiady
C. Kryminalistyka dyskowa
D. Łańcuch dowodowy

139. Aaron chce użyć wieloplatformowego narzędzia do rejestrowania, które obsługuje zarówno systemy Windows, jak i Unix/Linux oraz wiele formatów dzienników. Którego z poniższych narzędzi powinien użyć, aby upewnić się, że jego środowisko rejestrowania może akceptować i przetwarzać te dzienniki?

A. IPFIX
B. NXLo
C. syslog
D. journalctl

140. Które z poniższych nie jest typowym rodzajem ćwiczenia reagowania na incydenty?

A. Wiertła
B. Symulacje
C. Blat
D. Przejścia

141. Susan musi przeprowadzić skanowanie portów w sieci. Które z poniższych narzędzi nie pozwoliłoby jej na wykonanie tego typu skanowania?

A. netstat
B. netcat
C. nmap
D. Nessusa


142. Jaki termin należy do punktu A w Diamentowym Modelu Analizy Intruzji przedstawionym poniżej?



A. Przeciwnik
B. Cel
C. Przeciwnik
D. System

143. Agencja rządowa, dla której pracuje Vincent, otrzymała wniosek o ustawę o wolności informacji (FoIA) i musi dostarczyć żądane informacje ze swoich serwerów poczty e-mail. Jak nazywa się ten proces?

A. E-mail kryminalistyczny
B. Inkwizycja
C. e-odkrywanie
D. Pochodzenie

Odpowiedzi

1. A. Mila powinien wybrać skrót, ponieważ hasz jest zaprojektowany tak, aby był unikalny dla każdego możliwego wejścia. Oznacza to, że wiele plików może mieć tę samą wartość sumy kontrolnej, podczas gdy algorytm mieszający będzie unikalny dla każdego pliku, na którym jest uruchamiany.

2. A. Listy dozwolonych to listy zatwierdzonego oprogramowania. Oprogramowanie można zainstalować tylko wtedy, gdy znajduje się na liście dozwolonych. Listy odmów blokują określone aplikacje, ale nie mogą uwzględniać każdej możliwej złośliwej aplikacji. Listy kontroli dostępu (ACL) określają, kto może uzyskać dostęp do zasobu. System wykrywania włamań do hosta (HIDS) nie uniemożliwia instalacji oprogramowania.

3. C. Pulpity korelacji służą do agregowania zdarzeń i wyszukiwania połączeń. W niektórych przypadkach odbywa się to za pomocą zaawansowanych algorytmów analitycznych, w tym sztucznej inteligencji (AI) i uczenia maszynowego (ML). Pomocny byłby system wykrywania włamań do sieci (NIDS), ale niekoniecznie (sam w sobie) koreluje zdarzenia. Infrastruktura klucza publicznego (PKI) obsługuje certyfikaty, a nie korelację i widoczność zdarzeń związanych z bezpieczeństwem. Pulpity nawigacyjne trendów pokazują, jak się sprawy mają i w jaki sposób poruszają się statystyki i informacje.

4. D. Użycie tcpdump z flagami takimi jak -i do ustawienia interfejsu, tcp do ustawienia protokołu i port do ustawienia portu przechwycą dokładnie taki ruch, jaki Emily musi przechwycić. Port 443 jest domyślnym portem HTTPS. Nie ma flagi -proto dla tcpdump .

5. A. Ćwiczenia na stole służą do omawiania procesu. w odróżnieniu od instruktażye, które skupiają się na szczegółowym przeglądzie incydentu, Mila skupi się bardziej na tym, jak jej zespół reaguje i na wyciąganiu wniosków z tych odpowiedzi. Ćwiczenie na stole może polegać na zabawianiu się sytuacją. Symulacja faktycznie naśladuje zdarzenie lub incydent, zarówno na małą, jak i na dużą skalę. Ćwiczenia nie są zdefiniowane jako część zarysu egzaminu Security+.

6. A. Kopie zapasowe są uważane za najmniej ulotny rodzaj pamięci, ponieważ zmieniają się znacznie wolniej i w rzeczywistości mogą być celowo przechowywane przez długi czas bez zmian. Na tej liście najczęściej zmienia się pamięć podręczna procesora, następnie pamięć RAM, a następnie zawartość dysku lokalnego.

7. C. Osoby reagujące na incydenty wiedzą, że wyniki skanowania mogą pokazać wrażliwe systemy i usługi, dostarczając wskazówek na temat tego, w jaki sposób atakujący mogli uzyskać dostęp do systemów. Skany nie pokażą programów używanych przez atakujących, ale mogą pokazać usługi, które włączyli lub zmienili. Skany pokażą wersje oprogramowania zainstalowanego przed atakiem, ale informacje te są przydatne tylko wtedy, gdy atakujący zaktualizowali lub zmienili oprogramowanie lub oprogramowanie było podatne na ataki, co czyni tę odpowiedź mniej dokładną i użyteczną. Wreszcie, skany mogą pokazywać, gdzie znajdują się urządzenia zabezpieczające sieć, ale informacje te powinny być dostępne dla zespołu reagowania na incydenty bez próby ustalenia tego na podstawie skanów.

8. C. Po usunięciu problemu można rozpocząć odzyskiwanie. Odzyskiwanie może obejmować przywrócenie usług i powrót do normalnego działania.

9. C. Flaga -p dodaje trwałą trasę w połączeniu z poleceniem ADD. Trasy trwałe pozostaną w tablicy routingu między rozruchami. Domyślnie są one czyszczone przy każdym rozruchu. Atakujący może użyć tego do pomocy w ataku na ścieżce (man-inthe-middle).

10. D. Spośród udostępnionych opcji tylko Harvester jest narzędziem wywiadowczym typu open source. Curl to narzędzie służące do przesyłania danych, hping to narzędzie często używane do budowania niestandardowych pakietów i wykonywania funkcji analizatora pakietów, a netcat to narzędzie, które umożliwia odczytywanie i zapisywanie połączeń sieciowych, dzięki czemu jest szeroko stosowanym narzędziem dla testerów piórkowych i atakujących, którzy muszą przesyłać dane za pomocą małego, wydajnego narzędzia.

11. C. Struktura MITER ATT&CK skupia się na technikach i taktykach i nie skupia się na określonej kolejności operacji, jak robi to Cyber Kill Chain. Obejmuje również szerszy zakres technik i przeciwników niż Model Diamentowy i jest szeroko wdrażany w wielu istniejących narzędziach. Standard CVSS to system oceny podatności i nie jest użytecznym narzędziem do analizy złośliwego oprogramowania i ataków.

12. D. Aby właściwie zachować system, Ted musi upewnić się, że się nie zmienia. Wyłączenie systemu spowoduje utratę wszystkiego w pamięci, co może być potrzebne do dochodzenia. Wyjęcie dysku podczas działania systemu może spowodować utratę danych. Zamiast tego może być wymagane obrazowanie na żywo urządzenia i jego pamięci. Umożliwienie użytkownikom dalszego korzystania z maszyny spowoduje zmiany, które mogą również zaszkodzić zdolności Teda do prowadzenia dochodzenia kryminalistycznego.

13. D. Wysiłki powstrzymujące są stosowane w celu ograniczenia rozprzestrzeniania się lub wpływu incydentu. Ograniczanie może koncentrować się na utrzymywaniu systemów lub usług w trybie online, aby zapewnić organizacjom możliwość dalszego funkcjonowania do czasu wdrożenia innych opcji ciągłości biznesowej. Segmentacja przenosi systemy lub usługi do różnych stref bezpieczeństwa, a izolacja usuwa je ze wszystkich kontaktów lub umieszcza je w małych grupach, które są usuwane z reszty organizacji i systemów, na które nie ma wpływu.

14. D. System Windows nie rejestruje ruchu sieciowego na poziomie szczegółowości, który pokaże, czy plik został przesłany. Można przechwytywać podstawowe statystyki ruchu, ale bez dodatkowych czujników i możliwości zbierania informacji Jessica nie będzie w stanie określić, czy pliki są wysyłane z systemu Windows.

15. C. Łańcuch dowodowy w działaniach kryminalistycznych pozwala śledzić, kto w dowolnym momencie posiada urządzenie, dane lub inny artefakt kryminalistyczny, kiedy ma miejsce transfer, kto przeprowadził analizę oraz gdzie znajduje się przedmiot, system lub urządzenie, gdy proces kryminalistyczny jest Gotowe. Dzienniki dowodowe mogą być prowadzone przez organy ścigania w celu śledzenia zebranych dowodów. Ślad papierowy i cyfrowy ślad nie są terminami technicznymi używanymi w kryminalistyce cyfrowej.

16. A. Spośród wymienionych narzędzi tylko nmap jest skanerem portów, a zatem jest to narzędzie, które dostarczy wymaganych informacji. route to narzędzie wiersza polecenia do przeglądania i dodawania tras ruchu sieciowego. hping to generator i analizator pakietów, a netstat to narzędzie wiersza poleceń, które pokazuje połączenia sieciowe, statystyki interfejsu i inne przydatne informacje o wykorzystaniu sieci przez system.

17. B. Flaga -c dla grep zlicza liczbę wystąpień danego łańcucha w pliku. Flaga -n pokazuje dopasowane linie i numery linii. Nawet jeśli nie masz pewności, która flaga jest którą, składnia powinna pomóc w takim pytaniu. Gdy używasz grep , wzorzec pojawia się przed nazwą pliku, co pozwala od razu wykluczyć dwie opcje.

18. B. Zarządzanie interesariuszami obejmuje współpracę z interesariuszami lub tymi, którzy są zainteresowani wydarzeniem lub dotkniętymi systemami lub usługami. COOP, czyli Continuity of Operations Planning, to wysiłek rządu federalnego USA mający na celu zapewnienie, że agencje federalne mają plany ciągłości. PAM to uprzywilejowane zarządzanie kontem. Zarządzanie interesariuszami to coś więcej niż tylko komunikacja, chociaż komunikacja jest jej ważną częścią.

19. D. Najczęstszym powodem jednogodzinnego przesunięcia czasowego między dwoma systemami w tej samej lokalizacji jest błędne ustawienie strefy czasowej powodujące przesunięcie czasowe między systemami.

20. C. Dane DNS są często rejestrowane, aby pomóc w identyfikacji zhakowanych systemów lub systemów, które odwiedziły znane strony phishingowe. Dzienniki DNS mogą być używane wraz z reputacją IP i listami znanych złych nazw hostów do identyfikowania takich problemów. Dane DNS nie są powszechnie używane do identyfikowania skanowań sieci i nie mogą ich przechwytywać. Transfery domen nie są atakami, chociaż gromadzą informacje i będą widoczne w dziennikach. DNS nie przechwytuje informacji o logowaniu.

21. D. Nawet jeśli nie jesteś zaznajomiony z narzędziem wiersza poleceń openssl, powinieneś wiedzieć, że certyfikaty używają szyfrów, które akceptują długość bitową jako flagę i że długości bitowe takie jak 1024, 2048 i 4096 są powszechne. Te długości kluczy nie są powszechnie przekazywane w bajtach, a certyfikaty prawdopodobnie nie będą trwać przez wiele dziesięcioleci, chociaż certyfikat główny urzędu certyfikacji (CA) może trwać przez długi czas.

22. B. Domyślnie polecenie tail pokazuje ostatnie 10 wierszy pliku, a użycie flagi -f śledzi zmiany w pliku. head pokazuje początek pliku, a stopa i follow zostały stworzone dla tego pytania.

23. B. Chociaż akwizycja oprogramowania układowego jest mniej popularną techniką, oprogramowanie układowe jest zwykle przechowywane w układzie scalonym na płycie głównej, a nie na dysku. Henry najprawdopodobniej odniesie sukces, jeśli pobierze działające oprogramowanie układowe z pamięci. Połączenie szeregowe może działać, ale zazwyczaj wymaga ponownego uruchomienia systemu.

24. B. Przepływy sieciowe wykorzystujące NetFlow lub sFlow dostarczyłyby informacji, których potrzebuje Eric, ze szczegółami tego, ile ruchu zostało wykorzystane, kiedy i dokąd został skierowany. Zapora lub funkcja zapobiegania utracie danych (DLP) nie wyświetlają szczegółów przepustowości, chociaż zapora może wyświetlać informacje o połączeniu dla zdarzeń. Packetflow został wymyślony na to pytanie i nie jest technologią wykorzystywaną do tego celu.

25. D. Haszowanie przy użyciu MD5 lub SHA1 jest powszechnie stosowane w celu sprawdzenia, czy obraz kryminalistyczny pasuje do oryginalnego dysku. Wiele duplikatorów kryminalistycznych automatycznie generuje skrót obu dysków po zakończeniu procesu obrazowania, aby zapewnić łańcuch dokumentacji dla artefaktów kryminalistycznych. Trzeci obraz może być przydatny, ale nie potwierdza tego. Wykazy katalogów nie potwierdzają zgodności dysków, a zdjęcia, chociaż przydatne do dokumentowania dysków i numerów seryjnych, nie potwierdzają zawartości dysków.

26. B. Nessus to popularne narzędzie do skanowania podatności. Nie jest to fuzzer, firewall aplikacji internetowych (WAF) ani analizator protokołów.

27. A. Spośród wymienionych opcji jedynym warunkiem dopuszczalności jest to, że dowody muszą być istotne. Dowody muszą być również uwierzytelnione, co oznacza, że muszą być autentyczne.

28. D. Koszt organizacji nie jest zwykle częścią planowania komunikacji. Ponieważ incydenty mogą mieć szeroki zakres kosztów, a ujawnienie tych kosztów może powodować niepokój lub utratę zaufania klienta w najgorszym przypadku, koszty incydentu są stosunkowo rzadko ujawniane w ramach procesu reagowania na incydent. Komunikacja z klientami i pracownikami ma kluczowe znaczenie, a posiadanie różnych planów komunikacji dla różnych istotności zdarzeń pomaga zapewnić odpowiednią komunikację.

29. B. Polecenie cat bez nawiasu kątowego do przekierowania po prostu wyświetli zawartość wymienionych plików. W związku z tym to polecenie wyświetli plik1.txt , a następnie plik2.txt . Gdyby Rick wstawił > między dwa pliki, dołączyłby plik file1.txt do file2.txt .

30. D. CentOS i Red Hat przechowują informacje dziennika uwierzytelniania w /var/log/secure zamiast /var/log/auth.log używanego przez systemy Debian i Ubuntu. Znajomość różnic między głównymi dystrybucjami może przyspieszyć dochodzenia kryminalistyczne i incydenty, a spójność jest jednym z powodów, dla których organizacje często wybierają pojedynczą dystrybucję Linuksa dla swojej infrastruktury, gdy tylko jest to możliwe.

31. B. Tytuły stron internetowych, a także nagłówki, takie jak metatagi, są przykładami metadanych o stronie i są często używane do zbierania informacji o stronach i witrynach internetowych. Nagłówki są używane jako część projektu strony i zazwyczaj opisują pasek u góry strony używany do nawigacji w witrynie. Podsumowanie i ukryte dane nie są terminami technicznymi używanymi do opisu składników strony internetowej.

32. C. Cuckoo lub Cuckoo Sandbox to piaskownica do analizy złośliwego oprogramowania, która bezpiecznie uruchamia złośliwe oprogramowanie, a następnie analizuje i raportuje jego zachowanie. strings to narzędzie wiersza polecenia, które pobiera ciągi z danych binarnych. scanless to narzędzie opisane jako skrobak portów, które pobiera informacje o porcie bez uruchamiania skanowania portów, korzystając z witryn i usług w celu uruchomienia skanowania. Sn1per to framework do testowania pióra.

33. C. Chociaż autopsja, ciągi znaków i grep mogą być używane do pobierania informacji z plików, exiftool jest jedynym wymienionym specjalnie stworzonym narzędziem do pobierania metadanych plików.

34. B. FTK Imager to darmowe narzędzie, które może obrazować zarówno systemy, jak i pamięć, umożliwiając Isaacowi przechwytywanie potrzebnych informacji. Chociaż dd jest przydatne do przechwytywania dysków, inne narzędzia są zwykle używane do zrzutów pamięci i chociaż dd może być używane w systemie Windows, FTK Imager jest bardziej prawdopodobnym wyborem. Autopsja jest narzędziem analizy sądowej i nie zapewnia własnych narzędzi obrazowania. WinDump to wersja Windows tcpdump , analizatora protokołów.

35. B. Kiedy artefakty są zdobywane w ramach śledztwa, powinny być rejestrowane i dokumentowane jako część dowodów związanych z dochodzeniem. Artefakty mogą obejmować kartkę papieru z hasłami, narzędzia lub technologię związaną z exploitem lub atakiem, karty inteligentne lub jakikolwiek inny element dochodzenia.

36. A. Rekordy MX domeny zawierają listę jej serwerów e-mail. Gary może użyć nslookup do odpytywania systemu nazw domen (DNS) dla serwerów MX za pomocą polecenia nslookup -query =mx example.com, aby wyszukać serwer poczty example.com. ping nie obsługuje wyszukiwania serwerów MX, a zarówno smtp, jak i e-mail nie są narzędziami wiersza poleceń.

37. B. Wireshark może być używany do przechwytywania i analizowania ruchu sieciowego SIP (Session Initiation Protocol) na żywo. Analitycy powinni pamiętać, że ruch SIP może być szyfrowany w ich sieci i może być konieczne podjęcie dodatkowych kroków, aby w pełni wyświetlić zawartość pakietów SIP. Pliki dziennika mogą dostarczać informacji o sesjach i zdarzeniach SIP i są przydatne do analizy po fakcie, ale nie zawierają tych samych szczegółów dotyczących ruchu SIP na żywo. Nessus to skaner luk w zabezpieczeniach, a SIPper został wymyślony na to pytanie.

38. A. Chociaż wszystkie wymienione narzędzia mogą wykonywać skanowanie portów i identyfikować otwarte porty, netcat jako jedyny nie integruje również automatycznej identyfikacji usług.

39. D. Raporty kryminalistyczne powinny zawierać odpowiednie szczegóły techniczne. Analiza systemu nie obejmuje zdjęcia osoby, od której system został pozyskany.

40. A. To pytanie sprawdza twoją wiedzę zarówno na temat popularnych logów Linuksa, jak i podstawowych informacji o formacie pliku auth.log. Greg może użyć grep do wyszukania hasła "Failed password" w pliku auth.log znajdującym się w /var/log w wielu systemach Linux. Nie ma wspólnego pliku dziennika o nazwie bruteforce.log ; ogon i głowa nie są przydatne do przeszukiwania pliku, a jedynie do pokazywania określonej liczby wierszy; a /etc/ nie jest normalną lokalizacją pliku auth.log.

41. C. Pamięć podręczna przeglądarki, historia i informacje o sesji będą zawierać informacje z ostatnio odwiedzanych witryn. Zakładki mogą wskazywać witryny, które użytkownik odwiedził w pewnym momencie, ale zakładkę można dodać bez konieczności odwiedzania witryny.

42. C. Wireshark to analizator pakietów, który może być używany do przechwytywania i analizowania ruchu sieciowego do celów kryminalistycznych. W przeciwieństwie do kryminalistyki dysku, kryminalistyka sieciowa wymaga przemyślenia i celowego przechwytywania danych, zanim będą potrzebne, ponieważ ruch jest efemeryczny. Organizacje, które chcą mieć widok ruchu sieciowego bez przechwytywania całego ruchu, mogą używać NetFlow lub sFlow do dostarczania pewnych informacji o wzorcach ruchu sieciowego i jego wykorzystaniu. Nessus to skaner luk w zabezpieczeniach, nmap to skaner portów, a Simple Network Management Protocol (SNMP) to protokół używany do przesyłania i gromadzenia informacji o urządzeniach sieciowych i stanie.

43. A. Mapowanie sieci przy użyciu polecenia ping polega na pingowaniu każdego hosta, a następnie używa informacji o czasie życia (TTL) do określenia liczby przeskoków między znanymi hostami i urządzeniami w sieci. Gdy TTL maleje, zwykle między Tobą a urządzeniem znajduje się inny router lub przełącznik. Wysłane i odebrane pakiety mogą być użyte do określenia, czy występują problemy ze ścieżką lub łączem, a czas tranzytu może dostarczyć informacji o względnej odległości sieci lub wykorzystanej ścieżce, ale traceroute dostarcza w tym przypadku znacznie bardziej przydatnych szczegółów.

44. C. Organizacje określają zasady przechowywania różnych danych typy i systemy. Wiele organizacji stosuje 30-, 45-, 90-, 180- lub 365-dniowe zasady przechowywania, przy czym niektóre informacje muszą być przechowywane dłużej ze względu na prawo lub zgodność z przepisami. Organizacja Susan może przechowywać dzienniki nawet przez 30 dni, w zależności od ograniczeń pamięci masowej i potrzeb biznesowych. Zasady klasyfikacji danych zazwyczaj wpływają na sposób zabezpieczania i obsługi danych. Zasady tworzenia kopii zapasowych określają, jak długo kopie zapasowe są zachowywane i rotowane, i mogą mieć wpływ na dane w przypadku tworzenia kopii zapasowych dzienników, ale tworzenie kopii zapasowych dzienników jest mniej powszechną praktyką ze względu na zajmowane przez nie miejsce w porównaniu z wartością tworzenia kopii zapasowych dzienników. Praktyki prawne dotyczące wstrzymania są powszechne, ale zasady są rzadziej definiowane w przypadku prawnych wstrzymań, ponieważ wymagania są określone przez prawo.

45. C. Zerowanie dysku można wykonać za pomocą dd , a kiedy to polecenie zostanie zakończone, Selah zapisze zera na całym dysku /dev/sda .

46. C. Zaangażowanie dotkniętych obszarów lub tych, które odgrywają rolę w procesie, jest częścią zarządzania interesariuszami i zapewnia, że ci, którzy muszą być zaangażowani lub świadomi procesu reagowania na incydent, są zaangażowani w cały proces. Przepisy rzadko określają konkretne wymagania dotyczące zaangażowania wewnętrznego, zamiast tego koncentrują się na klientach lub tych, których dane są zaangażowane w incydent. Zasady przechowywania określają, jakie dane są przechowywane i jak długo. COOP to Continuity of Operations Planning, federalny wysiłek mający na celu zapewnienie planów odzyskiwania po awarii i ciągłości biznesowej dla agencji federalnych.

47. A. Symulacja jest najbardziej zbliżona do wydarzenia w świecie rzeczywistym bez posiadania. W ćwiczeniu na stole personel omawia scenariusze, podczas gdy instruktaż obejmuje listy kontrolne i procedury. Gra wojenna nie jest powszechnym rodzajem ćwiczeń.

48. C. Tabele Content-Addressable Memory (CAM) na przełącznikach zawierają listę wszystkich urządzeń, z którymi rozmawiały i dają Erin najlepszą szansę na zidentyfikowanie urządzeń w sieci. Wireshark i netstat będą miały tylko widok urządzeń, z którymi komunikuje się system, z którym pracuje, lub które nadają w segmencie sieci, w którym się znajduje. System nazw domen (DNS) wyświetli listę tylko systemów, które mają wpis DNS. W większości organizacji stosunkowo niewiele systemów ma wpisy w DNS.

49. C. Czujniki są wdrażane jako agenci, sprzęt lub maszyny wirtualne w celu gromadzenia informacji i przekazywania ich z powrotem do urządzenia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM). Poziomy alertów, funkcje analizy trendów i progi czułości są używane do analizowania i raportowania danych, a nie do gromadzenia danych.

50. C. Proces lub ustawienie kwarantanny zachowa złośliwe lub niebezpieczne pliki i programy bez zezwalania na ich uruchomienie. Pozwala to obrońcom na odzyskanie ich do dalszej analizy, a także na zwrócenie ich do użycia, jeśli nie zostaną uznane za złośliwe lub jeśli złośliwe komponenty można usunąć z potrzebnych plików. Oczyszczanie, głębokie zamrażanie i przechowywanie nie są terminami używanymi do opisania tego zachowania lub ustawienia.

51. C. Chuck powinien zalecić system zarządzania urządzeniami mobilnymi (MDM), aby zapewnić możliwość zarządzania i ochrony urządzeń w organizacji w przyszłości. Zapobieganie utracie danych (DLP) nie powstrzyma zgubionego telefonu przed potencjalnym wyciekiem danych, izolowanie telefonów nie jest realistycznym scenariuszem dla urządzeń, które będą faktycznie używane, ani też nie jest powstrzymywaniem, ponieważ telefon jest poza kontrolą organizacji po utracie .

52. A. Filtr treści został specjalnie zaprojektowany, aby umożliwić organizacjom wybieranie zarówno określonych witryn, jak i kategorii treści, które powinny być blokowane. Gabby może przeglądać kategorie treści i konfigurować filtr, aby uniemożliwić uczniom przeglądanie niechcianych witryn. Rozwiązanie zapobiegające utracie danych (DLP) zostało zaprojektowane w celu zapobiegania utracie danych, zapora może blokować adresy IP lub nazwy hostów, ale wymagałaby dodatkowych funkcji do filtrowania zawartości, a system wykrywania włamań (IDS) może wykryć niepożądany ruch, ale nie może go zatrzymać.

53. B. Informacje przechowywane na dysku są jedną z najmniej ulotnych pozycji w kolejności ulotności, ale kopie zapasowe są jeszcze mniej ulotne. Oznacza to, że Frank powinien przechwytywać kopie zapasowe po zobrazowaniu dysku i że powinien najpierw przechwycić pamięć podręczną procesora i rejestry, a także systemową pamięć RAM, jeśli ich potrzebuje.

54. C. Flaga -R stosuje rekursywnie uprawnienie do wszystkich plików w podanym katalogu. W tym przypadku uprawnienia to 7 , które ustawiają właściciela na czytanie, zapisywanie i wykonywanie, oraz 55 , co ustawia uprawnienia dla grupy, a następnie do świata tylko do odczytu. 755 to bardzo często używane uprawnienie w systemach Linux.

55. B. Najważniejszym działaniem, jakie Charles może podjąć podczas pracy ze swoimi artefaktami kryminalistycznymi, aby zapewnić niezaprzeczalność, jest cyfrowe podpisanie artefaktów i informacji, które tworzy w swoich dokumentach dowodowych. Zaszyfrowanie danych wyjściowych zapewni ich poufność, ale samo w sobie nie zapewni niezaprzeczalności. Sumy kontrolne MD5 dla obrazów są powszechnie gromadzone, ale muszą być następnie podpisane, aby można je było zweryfikować i upewnić się, że nie zostały zmodyfikowane.

56. D. Narzędzie memdump to narzędzie zrzutu pamięci wiersza polecenia, które może zrzucić pamięć fizyczną. Nieco mylące, memdump jest również flagą w bardzo przydatnym frameworku Volatility, gdzie można go również użyć do zrzutu pamięci. Pozostałe opcje zostały wymyślone i nie są narzędziami Linuksa, chociaż możesz utworzyć ramdump na urządzeniach z Androidem.

57. B. Plik wymiany systemu Windows to pagefile.sys i jest domyślnie zapisywany w katalogu głównym dysku C:\.

58. A. Najlepszym sposobem na przechwycenie maszyny wirtualnej z działającego hiperwizora jest zwykle użycie wbudowanych narzędzi w celu uzyskania migawki systemu. Narzędzia do obrazowania zazwyczaj nie są w stanie przechwytywać stanu maszyny, a program dd nie jest przeznaczony do przechwytywania maszyn wirtualnych. Usunięcie dysków serwera może być trudne ze względu na macierz RAID i inne specyficzne elementy konfiguracji serwera, co może mieć wpływ na wszystkie inne działające maszyny wirtualne i usługi w systemie.

59. C. Dobrze udokumentowany łańcuch dowodowy może pomóc w ustaleniu pochodzenia danych, udowadniając skąd pochodzą, kto się nimi zajmował i w jaki sposób zostały pozyskane. Prawo do kontroli, terminy i zachowanie obrazów nie określają pochodzenia, chociaż ochrona jest częścią procesu łańcucha dostaw.

60. B. Techniki kryminalistyki cyfrowej są powszechnie stosowane do analizowania wzorców, narzędzi i technik ataków wykorzystywanych przez podmioty zajmujące się zaawansowanymi trwałymi zagrożeniami (APT) do celów kontrwywiadowczych. Czasami mogą być wykorzystywane do ustalenia, jakie informacje zostały skradzione, ale nie jest to najczęstsze zastosowanie w cyfrowych technikach kryminalistycznych, ani nie jest to wykorzystanie ich jako mechanizmu szkoleniowego.

61. A. Organy ścigania zazwyczaj nie są częścią organizacyjnych zespołów reagowania na incydenty, ale zespoły reagowania na incydenty często utrzymują relacje z lokalnymi funkcjonariuszami organów ścigania. Analitycy bezpieczeństwa, kadra kierownicza i komunikacyjna, a także eksperci techniczni są zwykle częścią głównego zespołu reagowania na incydenty.

62. A. Nawet jeśli nie znasz iptables , możesz przeczytać te zasady i zgadnąć, która zasada zawiera właściwe szczegóły. DROP ma sens dla bloku i powinieneś wiedzieć, że SSH będzie usługą TCP na porcie 22.

63. C. logger to narzędzie Linuksa, które dodaje informacje do dziennika systemowego Linuksa. Może akceptować dane wejściowe plikowe, zapisywać do pozycji dziennika systemowego, wysyłać do zdalnych serwerów dzienników systemowych i wykonywać wiele innych funkcji. Inne polecenia nie są bezpośrednio powiązane z dziennikiem systemowym.

64. A. Plany reagowania na incydenty nie powstrzymują incydentów, ale pomagają ratownikom odpowiednio reagować, przygotować organizację na incydenty i mogą być wymagane ze względów prawnych lub zgodności.

65. D. Rozmagnesowanie dysku wykorzystuje silne pola magnetyczne do jego wyczyszczenia i jest najmniej prawdopodobne, że spowoduje odzyskanie danych. Usunięte pliki często można odzyskać, ponieważ tylko informacje o indeksie plików zostaną usunięte, dopóki to miejsce nie będzie potrzebne i zostanie zastąpione. Szybkie formaty działają w podobny sposób i pozostawiają resztki danych, a pliki, które są nadpisywane przez mniejsze pliki, również pozostawiają fragmenty danych, które można odzyskać i przeanalizować.

66. D. Najbardziej prawdopodobnym zastosowaniem tego wideo przez Henry′ego jest udokumentowanie procesu kryminalistycznego, części łańcucha dowodowego i pochodzenia danych kryminalistycznych, które pozyskuje. Kolejność zmienności pomaga określić, jakie urządzenia lub napędy zobrazowałby jako pierwsze. Nie popełniono przestępstwa, więc ustalenie winy nie ma znaczenia w tym scenariuszu, a nagranie wideo nie zapewni zachowania danych na dysku podczas procesu kryminalistycznego.

67. B. WinHex jest jedynym edytorem dysków na tej liście. Autopsy to pakiet do analiz kryminalistycznych; dd i FTK Imager to narzędzia do obrazowania. WinHex zapewnia również możliwość odczytu RAID i dysków dynamicznych, odzyskiwania danych, edycji pamięci fizycznej, klonowania dysków, czyszczenia plików i dysków oraz wielu innych funkcji.

68. B. Poradniki zawierają listę wymaganych kroków, które są potrzebne do rozwiązania incydentu. Element Runbook koncentruje się na krokach wykonywania akcji lub procesu w ramach procesu odpowiedzi na incydent. W związku z tym element playbook może odwoływać się do elementów runbook. Plany ciągłości biznesowej (BC) i plany odzyskiwania po awarii (DR) nie są używane do reagowania na incydenty, ale służą do zapewnienia, że firma pozostanie online lub może odzyskać sprawność po awarii.

69. C. Hasła są zwykle przechowywane przy użyciu skrótu, a najlepsze praktyki powinny je przechowywać przy użyciu zabezpieczenia hasła - określonego skrótu. Alaina może przyspieszyć swoje wysiłki, jeśli wie, jaki algorytm mieszający i opcje zostały użyte na hasłach. Wiek i długość haseł nie są konieczne, a hasła nie powinny być przechowywane w formie zaszyfrowanej - ale w pytaniu również wyraźnie zaznaczono, że są to hasła zaszyfrowane.

70. D. Lista blokowania aplikacji najlepiej pasowałaby do potrzeb Vincenta z dostarczonej listy. Zatwierdzona lista uniemożliwiłaby instalowanie innych narzędzi, co może utrudniać działanie, a jednocześnie utrudniać utrzymanie listy. Rozwiązanie zapobiegające utracie danych (DLP) próbuje zapobiec wysyłaniu lub ujawnianiu danych, ale nie uniemożliwia instalacji ani pobierania gier. Filtr zawartości może pomóc, ale obejście tego problemu jest łatwe, w tym wysyłanie gier pocztą e-mail lub za pomocą pendrive′a.

71. B. IPSec nie jest narzędziem używanym do przechwytywania przepływów sieciowych. sFlow, NetFlow i IPFIX są używane do przechwytywania informacji o przepływie sieciowym, które dostarczają informacji potrzebnych Charlene.

72. C. Plik awarii systemu lub zrzut systemu zawiera zawartość pamięci w momencie awarii. Niesławny niebieski ekran śmierci w systemie Windows powoduje zrzut pamięci do pliku, co pozwala na analizę zawartości pamięci. Plik wymiany (plik stronicowania) służy do przechowywania informacji, które nie zmieściłyby się w pamięci, ale jest mało prawdopodobne, aby zawierał aktualnie uruchomiony pakiet złośliwego oprogramowania, ponieważ pliki są wymieniane, gdy nie są używane. Dziennik zabezpieczeń systemu Windows nie zawiera tego typu informacji, podobnie jak dziennik systemowy.

73. C. Polecenie tracert systemu Windows pokaże trasę do zdalnego systemu, a także opóźnienia na trasie. traceroute to odpowiednik polecenia w systemie Linux. Polecenie arp umożliwia przeglądanie i modyfikowanie pamięci podręcznej protokołu ARP (Address Resolution Protocol) w systemie Windows, a netstat ma różne funkcje w różnych systemach operacyjnych, ale ogólnie pokazuje statystyki i informacje o wykorzystaniu i stanie sieci.

74. B. PRTG i Cacti są narzędziami do monitorowania sieci, które mogą dostarczać informacji o monitorowaniu przepustowości. Monitory przepustowości mogą pomóc w identyfikacji eksfiltracji, dużego i nienormalnego wykorzystania przepustowości oraz innych informacji, które mogą być pomocne zarówno w identyfikacji incydentów, jak i dochodzeniu w sprawie incydentów. Jeśli na egzaminie napotkasz takie pytanie, nawet jeśli nie znasz żadnego z narzędzi, możesz skorzystać z naszej wiedzy na temat tego, do czego służy Simple Network Management Protocol (SNMP), aby określić, która z kategorii jest najprawdopodobniej poprawna.

75. D. Zarys egzaminu Security+ koncentruje się na klauzulach dotyczących prawa do audytu, kwestiach regulacyjnych i jurysdykcyjnych oraz przepisach dotyczących powiadamiania o naruszeniu danych jako kluczowych elementów, które należy wziąć pod uwagę podczas planowania różnic śledczych na miejscu i w chmurze. Pochodzenie jest ważne niezależnie od tego gdzie występuje działalność kryminalistyczna.

76. A. Różnorodne zmiany konfiguracyjne można wprowadzić na urządzenia mobilne, aby pomóc: ustawiać hasła, włączać szyfrowanie całego dysku (FDE) na urządzeniach mobilnych za pomocą organizacyjnego zarządzania urządzeniami mobilnymi (MDM), a nawet zapobiegać pobrane lub przechowywane na tych urządzeniach mogą pomóc. Reguły zapory, reguły zapobiegania utracie danych (DLP) i filtry adresów URL nie zapobiegną dostępowi do skradzionego urządzenia i ujawnieniu danych.

77. B. Komenda @ dla dig wybiera serwer DNS (Domain Name System), do którego ma się odpytywać. W takim przypadku wyśle zapytanie do jednego z serwerów DNS Google pod adresem 8.8.8.8 w celu uzyskania informacji DNS na przykład.com.

78. C. Greg powinien użyć wbudowanych funkcji mieszających, aby porównać skrót MD5 lub SHA-1 dysku źródłowego z haszem przy użyciu tej samej funkcji uruchomionej na obrazie. Jeśli pasują, ma prawidłowy i nienaruszony obraz. Żadna z pozostałych odpowiedzi nie zapewni potwierdzenia, że cały dysk został prawidłowo zobrazowany.

79. B. Linuksowe polecenie grep jest narzędziem wyszukiwania, którego Adam może użyć do przeszukiwania plików lub katalogów w celu znalezienia ciągów. cat jest skrótem od concatenate, a polecenie może być używane do tworzenia plików, przeglądania ich zawartości lub łączenia plików. head i tail służą do wyświetlania odpowiednio początku lub końca pliku.

80. C. Segmentacja dzieli sieci lub systemy na mniejsze jednostki, które odpowiadają konkretnym potrzebom. Segmentacja może być funkcjonalna, oparta na zabezpieczeniach lub do innych celów. Usunięcie potencjalnie zainfekowanych systemów byłoby przykładem izolacji, użycie zapór sieciowych i innych narzędzi do powstrzymania rozprzestrzeniania się infekcji jest powstrzymywaniem, a dodawanie systemów bezpieczeństwa w celu zapobiegania utracie danych jest przykładem wdrożenia narzędzia lub funkcji zabezpieczającej.

81. B. W przeciwieństwie do planu odzyskiwania po awarii, który został napisany, aby pomóc organizacji w odbudowie po katastrofie spowodowanej przez człowieka lub katastrofie naturalnej, plan ciągłości działania koncentruje się na tym, jak utrzymać działalność gospodarczą po jej zakłóceniu. W związku z tym plan BC Charlene szczegółowo określałby, jak utrzymać organizację w ruchu, gdy nastąpi awaria systemu.

82. C. OpenSSL może być użyty do wygenerowania certyfikatu za pomocą polecenia takiego jak to:

openssl req -x509 -sha256 -węzły -dni 365 -nowy klucz rsa:2048

-keyout

privateKey.key -wyjście certyfikatu.crt.

Żadnego z pozostałych wymienionych narzędzi nie można użyć do wygenerowania certyfikatu.

83. A. Jedynym wymienionym łamaczem haseł jest John the Ripper. John akceptuje niestandardowe listy słownictwa, co oznacza, że Cameron może tworzyć i używać własnej listy słownictwa, jak pokazano w opcji A.

84. A. Autopsja nie ma wbudowanej możliwości tworzenia obrazów dysków. Zamiast tego wykorzystuje narzędzia innych firm do pozyskiwania, a następnie importowania obrazów dysków i innych nośników. Autopsja ma między innymi wbudowaną generację osi czasu, filtrowanie i identyfikację obrazów oraz wizualizację komunikacji.

85. C. Wielu dostawców usług w chmurze nie zezwala na audyty kierowane przez klienta, ani przez klienta, ani przez stronę trzecią. Często zabraniają również skanowania podatności środowiska produkcyjnego, aby uniknąć przerw w świadczeniu usług. Zamiast tego wiele z nich dostarcza wyniki audytu stron trzecich w postaci raportu kontroli organizacji usługowej (SOC) lub podobnego artefaktu audytu.

86. B. Łańcuch Cyber Kill Chain przechodzi do eskalacji przywilejów po wykorzystaniu. Cały łańcuch zabójstw to: 1) Zwiad, 2) Wtargnięcie, 3) Eksploatacja, 4) Eskalacja przywilejów, 5) Ruch na boki, 6) Zaciemnianie/antykryminalistyka, 7) Odmowa usługi i 8) Eksfiltracja.

87. D. Spośród wymienionych narzędzi tylko Metasploit stanowi ramy eksploatacji. Cuckoo to piaskownica do testowania złośliwego oprogramowania, theHarvester to narzędzie do zbierania informacji o otwartym kodzie źródłowym, a Nessus to skaner luk w zabezpieczeniach. Narzędzia takie jak Metasploit, BeEF i Pacu są przykładami ram eksploatacji.

88. A. Poradnik dla środowiska orkiestracji bezpieczeństwa, automatyzacji i reagowania (SOAR) to zestaw reguł, które określają, jakie działania zostaną wykonane po wystąpieniu zdarzenia identyfikowanego przez SOAR przy użyciu danych, które gromadzi lub otrzymuje.

89. B. Zarys egzaminu Security+ wykorzystuje sześcioetapowy proces reagowania na incydent: przygotowanie, identyfikacja, ograniczanie, eliminacja, odzyskiwanie i wyciągnięte wnioski.

90. D. Plan odzyskiwania po awarii określa, co zrobić podczas katastrofy spowodowanej przez człowieka lub klęski żywiołowej. Powódź, która całkowicie zapełni centrum danych, wymagałaby znacznych wysiłków, aby odzyskać dane, a Gurviner będzie potrzebował solidnego planu odzyskiwania po awarii - i być może nowej lokalizacji centrum danych tak szybko, jak to możliwe! COOP lub Continuity of Operations Pan jest wymagany dla agencji rządowych USA, ale nie jest wymagany dla firm. Plan ciągłości działania obejmowałby sposób prowadzenia działalności, ale nie obejmuje wszystkich wymagań w przypadku klęski żywiołowej tej skali, a plan ubezpieczenia powodziowego nie jest terminem używanym na egzaminie Security+.

91. C. pathping łączy funkcjonalność stylu ping i tracert / traceroute, aby pomóc zidentyfikować zarówno używaną ścieżkę, jak i gdzie opóźnienie jest problemem. Jest wbudowany w system Windows i może być używany dokładnie do rozwiązywania problemów, które Frank musi wykonać. Mógłby użyć zarówno ping, jak i tracert / traceroute do wykonania zadania, ale musiałby poświęcić więcej czasu na używanie każdego narzędzia po kolei, aby zidentyfikować te same informacje, które pathping umieści w jednym interfejsie. netcat , chociaż przydatny do wielu zadań, nie jest tak dobrze przystosowany do tego.

92. A. Narzędzie dnsenum może wykonywać wiele funkcji związanych z systemem nazw domen (DNS), w tym odpytywać rekordy A, serwery nazw i rekordy MX, a także wykonywać transfery stref, wyszukiwać w Google hosty i subdomeny oraz odwracać zakresy sieci . dig i host są przydatne dla zapytań DNS, ale nie zapewniają takiego zakresu możliwości, a dnscat został wymyślony na to pytanie.

93. C. Jill chce, aby w systemie było jak najmniej zmian, więc powinna poinstruować użytkownika, aby nie zapisywał żadnych plików ani nie dokonywał żadnych zmian. Ponowne uruchomienie systemu nie spowoduje utworzenia zrzutu pamięci i może spowodować zapisanie lub zmianę nowych plików, jeśli poprawki czekały na zainstalowanie lub inne zmiany zostały ustawione podczas ponownego uruchamiania. Wyłączenie bezpiecznego usuwania lub wprowadzenie innych zmian nie wpłynie na pliki, które zostały usunięte przed tą zmianą ustawienia.

94. C. Działania antykryminalistyczne podążają za ruchem poprzecznym w modelu Cyber Kill Chain. Warto pamiętać, że po zakończeniu ataku osoba atakująca będzie próbowała ukryć ślady swoich wysiłków, a następnie może przystąpić do działań polegających na odmowie usługi lub eksfiltracji w modelu.

95. B. Proces IR stosowany w zarysie egzaminu Security+ to Przygotowanie, Identyfikacja, Przechowywanie, Eliminacja, Odzyskiwanie i Wyciągnięte Lekcje. Veronica powinna przejść do fazy wyciągania wniosków.

96. C. Szybkie formatowanie usuwa jedynie indeksy plików, a nie usuwa i nadpisuje pliki, co czyni je nieodpowiednim do czyszczenia. Fizyczne zniszczenie zapewni, że dane nie będą czytelne, podobnie jak rozmagnesowanie i zerowe wymazywanie.

97. D. Microsoft Office umieszcza informacje, takie jak nazwa twórcy pliku, redaktorów, daty utworzenia i zmiany oraz inne przydatne informacje w metadanych pliku, które są przechowywane w każdym dokumencie pakietu Office. Bart może po prostu otworzyć dokument pakietu Office, aby przejrzeć te informacje, lub użyć narzędzia do analizy śledczej lub metadanych pliku, aby je przejrzeć. Nazwy plików mogą zawierać nazwę twórcy, ale byłoby tak tylko wtedy, gdyby twórca ją dołączył. Pakiet Microsoft Office nie tworzy ani nie prowadzi dziennika, a dziennik aplikacji dla systemu Windows nie zawiera tych informacji.

98. B. Zapora Windows Defender działa w modelu dla poszczególnych aplikacji i może filtrować ruch na podstawie tego, czy system znajduje się w zaufanej sieci prywatnej, czy w sieci publicznej. Nathaniel powinien zezwolić na Chrome według nazwy w zaporze, co pozwoli mu na wysyłanie ruchu bez konieczności określania portów lub protokołów.

99. B. Skrypt dnsenum Perl zawiera kilka funkcji wyliczania systemu nazw domen (DNS), w tym hosta, serwera nazw i zbieranie rekordów MX; transfer stref; skrobanie Google dla domen; brutalne wymuszanie subdomeny z plików; a także automatyzacja Whois i wyszukiwanie wsteczne dla sieci o rozmiarze do klasy C. Chociaż możesz ręcznie użyć dig, nslookup lub nawet netcata do wykonania wielu z tych funkcji, dnsenum jest jedynym zautomatyzowanym narzędziem na liście.

100. B. Budowanie osi czasu, szczególnie z wielu systemów, opiera się na dokładnie ustawionych zegarach systemowych lub dodaniu ręcznie skonfigurowanego przesunięcia. Funkcja mieszania i akwizycji dysku nie wymaga dokładnego zegara systemowego, a metadane plików można przeglądać nawet bez dokładnego zegara, chociaż dokładne informacje o zegarze lub znajomość przesunięcia mogą być przydatne do analizy.

101. B. Przepisy dotyczące powiadamiania o naruszeniu danych często uwzględniają maksymalny czas, jaki może upłynąć, zanim powiadomienie będzie wymagane. Często zawierają również próg powiadomienia, z maksymalną liczbą narażonych osób, zanim konieczne będzie powiadomienie państwa lub innych organów. Nie obejmują one maksymalnej liczby osób, które można powiadomić, ani zazwyczaj nie określają szczegółowych wymagań dotyczących udziału policji w dochodzeniach kryminalistycznych ani rodzajów lub poziomów certyfikacji.

102. C. Najskuteczniejszym wymienionym tutaj narzędziem jest narzędzie do zapobiegania utracie danych (DLP), które może skanować i przeglądać wiadomości e-mail w poszukiwaniu danych w stylu SSN. Naomi może chcieć ustawić narzędzie tak, aby blokowało wszystkie e-maile z potencjalnymi numerami SSN, a następnie ręcznie przeglądać te e-maile, aby upewnić się, że żadne dalsze e-maile nie odejdą, jednocześnie zezwalając na przepuszczanie prawdziwych e-maili. System wykrywania włamań (IDS) może wyglądać kusząco jako odpowiedź, ale IDS może tylko wykryć, a nie zatrzymać ruch, który umożliwiłby SSN opuszczenie organizacji. Oprogramowanie antymalware i zapory sieciowe nie zatrzymają tego typu zdarzenia.

103. C. Nagłówki wiadomości e-mail zawierają znaczną ilość metadanych, w tym skąd została wysłana wiadomość e-mail. Pole od: zawiera listę nadawcy, ale nie wskazuje, skąd faktycznie została wysłana wiadomość e-mail. Pole do: zawiera listę osób, do których wysłano wiadomość e-mail, a stopki nie są używane do przechowywania tych informacji w przypadku wiadomości e-mail.

104. A. Granice jurysdykcyjne istnieją między stanami i miejscowościami, a także krajami, co w wielu przypadkach utrudnia lokalnym organom ścigania wykonywanie nakazów i pozyskiwanie danych od organizacji spoza ich jurysdykcji. Miejsce jest używane do opisania, gdzie prowadzona jest sprawa sądowa. Prawodawstwo może mieć wpływ, ale nie musi, a naruszenie przepisów prawdopodobnie nie będzie miało na to wpływu, ale pokieruje Henry′m, kiedy konieczne będzie powiadomienie o naruszeniu.

105. A. Olivia powinna użyć Jana Rozpruwacza. Chociaż do łamania haseł można używać zarówno narzędzi John the Ripper, jak i rainbow table, takich jak Ophcrack, John the Ripper zapewni lepszy wgląd w to, jak trudno było złamać hasło, podczas gdy narzędzia rainbow table po prostu określą, czy można złamać hash hasła. Crack.it i TheHunter zostały wymyślone na to pytanie.

106. B. Federalna Agencja Zarządzania Kryzysowego (FEMA), część Departamentu Bezpieczeństwa Wewnętrznego, jest odpowiedzialna za planowanie ciągłości operacji (COOP), co jest wymogiem dla agencji federalnych. Departament Rolnictwa Stanów Zjednoczonych (USDA), Agencja Bezpieczeństwa Narodowego (NSA) i Federalne Biuro Śledcze (FBI) nie są odpowiedzialne za planowanie ciągłości operacji.

107. B. Dane konfiguracyjne systemu Windows można odpytywać za pomocą PowerShell, co pozwala Elaine pisać skrypty, które będą gromadzić dane dotyczące konfiguracji zabezpieczeń. Bash to powłoka używana w systemach Linux. Chociaż systemy Windows mogą teraz uruchamiać Bash w podsystemie Linux, nie jest on domyślnie instalowany. Secure Shell (SSH) jest używany do zdalnego dostępu do powłoki, a Python może być używany, ale musiałby być zainstalowany specjalnie w tym celu i nie jest domyślnie dostępny.

108. C. Najlepszą wymienioną opcją jest przechwytywanie ruchu z telefonu przez Wireshark. W niektórych przypadkach ruch ten może być zaszyfrowany, a Ramon może wymagać podjęcia dodatkowych kroków w celu odszyfrowania danych. Dzienniki menedżera połączeń i dzienniki protokołu inicjowania sesji (SIP) nie zawierają pełnego dźwięku rozmowy.

109. C. NXLog to narzędzie do zbierania i centralizacji dzienników. IPFIX, NetFlow i sFlow zbierają dane o ruchu sieciowym, w tym źródło, miejsce docelowe, port, protokół i ilość danych wysyłanych do zebrania.

110. A. Pete wyizolował system, umieszczając go w oddzielnym logicznym segmencie sieci bez dostępu. Niektóre złośliwe oprogramowanie potrafi wykryć utratę połączenia sieciowego, a Pete może chcieć przeprowadzić analizę śledczą za pośrednictwem sieci lub monitorować próby wysyłania ruchu wychodzącego, co oznacza, że wystarczy odłączyć system może nie spełniać jego potrzeb. Powstrzymywanie wiązałoby się z ograniczeniem rozprzestrzeniania się lub wpływu ataku, segmentacja miejsc systemu w grupach opartych na regułach lub grupach bezpieczeństwa, a eliminacja jest częścią procesu reagowania na incydenty (IR), gdzie elementy incydentu lub ataku są usuwane.

111. C. Analizy śledcze dotyczące maszyn wirtualnych zazwyczaj opierają się na migawce zebranej przy użyciu funkcji migawek bazowego środowiska wirtualizacji. To przechwyci zarówno stan pamięci, jak i dysk dla systemu i może być uruchamiane w niezależnym systemie lub analizowane za pomocą narzędzi śledczych.

112. B. Narzędzie tcpreplay jest specjalnie zaprojektowane, aby umożliwić odtwarzanie plików przechwytywania PCAP w sieci, umożliwiając dokładnie ten rodzaj testowania. hping może być używany do tworzenia pakietów, ale nie jest przeznaczony do odtwarzania plików przechwytywania. tcpdump służy do przechwytywania pakietów, ale znowu nie jest to narzędzie do odtwarzania, a Cuckoo to narzędzie do piaskownicy do testowania i identyfikowania pakietów złośliwego oprogramowania.

113. C. Windows tworzy plik zrzutu, który zawiera całą zawartość aktywnej pamięci, aby umożliwić analizę awarii.

114. D. Segmentacja sieci na podstawie poziomów bezpieczeństwa lub ryzyka pomaga zapewnić, że ataki i włamania są ograniczone do tego samego typu systemów lub urządzeń o podobnych poziomach wymagań bezpieczeństwa. Izolacja usunęłaby urządzenie lub system z kontaktu z siecią lub innymi systemami. Fragmentacja i tiering nie są terminami używanymi w egzaminie Security+.

115. A. Oznaczenie każdego dysku pomaga w inwentaryzacji i zapewnia, że dysk jest prawidłowo śledzony oraz że można utrzymać łańcuch dowodowy. Zrobienie zdjęcia może być przydatne do identyfikacji dysku, ale tagowanie i kontrola zapasów są ważniejsze. Dyski nie są oznaczone kolejnością zmienności, ponieważ kolejność zmienności jest powiązana z typem celu kryminalistycznego, a nie z konkretnym napędem. Wywiady mogą być przydatne, ale nie zawsze są przeprowadzane z każdą osobą, której maszyna jest sfotografowana.

116. B. Pochodzenie artefaktu kryminalistycznego obejmuje łańcuch dozoru, w tym własność i nabycie artefaktu, urządzenia lub obrazu. E-discovery to proces wyszukiwania informacji w formatach elektronicznych na potrzeby sporów sądowych, dochodzeń i wniosków o rejestrację. Jurysdykcja to region lub obszar, w którym władzę sprawuje prawo lub organy ścigania. Zmienność to prawdopodobieństwo zmiany urządzenia lub komponentu.

117. B. Struktura zmienności jest specjalnie zaprojektowanym narzędziem do pozyskiwania pamięci o dostępie swobodnym (RAM) z działającego systemu.

Autopsja to narzędzie kryminalistyczne do analizy dysków i dochodzeń kryminalistycznych, dd służy do obrazowania dysków, a netcat to narzędzie służące do przesyłania danych lub nawiązywania połączeń z systemami w sieci.

118. D. Wireshark to analizator protokołów sieciowych i narzędzie do przechwytywania, które można wykorzystać do rozwiązywania problemów w takich okolicznościach. W rzeczywistości praktycy bezpieczeństwa są często proszeni o sprawdzenie, czy ruch jest odbierany prawidłowo, w ramach rozwiązywania problemów z regułami zapory. Randy może chcieć przechwytywać ruch na obu końcach komunikacji, aby upewnić się, że klienci wysyłają ruch prawidłowo, a następnie dopasować go do tego samego ruchu odbieranego lub zanikającego na drugim końcu. tracert i traceroute są przydatne do walidacji trasy, którą obiera ruch, ale nie pokazują, czy pakiety HTTPS były blokowane, a Sniper to platforma testów pisaków, która umożliwia automatyczne testowanie pisakami.

119. B. Najstarszym i najmniej wydajnym wymienionym narzędziem jest syslog, oryginalne narzędzie do logowania systemowego dla systemów Linux i Unix. Pozostałe trzy opcje mają zaawansowane funkcje, co oznacza, że są szerzej stosowane, gdy potrzebna jest elastyczność i niezawodność.

120. A. Jedynym narzędziem na tej liście, którego można użyć do tworzenia pakietów, jest hping . Susan mogłaby użyć przykładowego kodu lub exploita, tworząc niezbędny pakiet za pomocą hping, a następnie wysyłając go do serwera DHCP (Dynamic Host Configuration Protocol) w swojej sieci, jednocześnie monitorując za pomocą swojego systemu zapobiegania włamaniom (IPS). Może chcieć przechwycić cały ruch za pomocą Wireshark lub tcpdump, aby obserwować, co dzieje się na obu końcach!

121. D. Próby wstrzyknięcia SQL są wysyłane jako żądania HTTP lub HTTPS do serwera WWW, co oznacza, że Valerie będzie mogła zobaczyć ataki w dzienniku serwera WWW. Dzienniki systemu nazw domen (DNS), jeśli są dostępne, nie będą ich wyświetlać. Dzienniki uwierzytelniania pokazują loginy, a nie zapytania lub żądania internetowe lub SQL Server. W przeciwieństwie do systemu Windows, nie ma pliku dziennika bezpieczeństwa dla systemu Linux, chociaż istnieje bezpieczny dziennik dla niektórych systemów.

122. A. Jeśli klucz prywatny i hasło do certyfikatu są ujawnione, certyfikat powinien zostać unieważniony. Konieczne będzie wystawienie nowego certyfikatu, ale certyfikatowi nie można ufać, a odwołanie jest pierwszym krokiem do prawidłowego rozwiązania problemu. Zmiana hasła nie pomoże, a zmiana klucza prywatnego lub publicznego będzie wymagała nowego certyfikatu.

123. C. Zawiadomienie prawne o wstrzymaniu poinformuje firmę, że musi zachować i chronić informacje związane ze sprawą. Żaden z pozostałych elementów nie jest terminami używanymi w tym procesie.

124. B. netstat może pokazywać wszystkie aktywne połączenia, a użycie flagi -a zrobi to. netstat nie udostępnia flagi polecenia -c. Polecenie route służy do modyfikowania i wyświetlania tablicy routingu systemu. hping to analizator pakietów i narzędzie do budowania pakietów często używane do tworzenia określonych pakietów w ramach testów penetracyjnych i ataków.

125. B. Ustawienie kwarantanny umieści złośliwy lub podejrzany plik w bezpieczne miejsce i będzie je tam przechowywać do czasu, gdy minie określony czas lub do czasu, gdy administrator podejmie działania, aby sobie z tym poradzić. Może to pozwolić na dalszą analizę pliku lub przywrócenie go, jeśli była to nieprawidłowa identyfikacja lub jeśli plik jest potrzebny do innego celu. Ograniczanie służy do ograniczania zasięgu incydentu lub ataku, izolacja uniemożliwia systemowi lub urządzeniu łączenie się z innymi lub uzyskiwanie do nich dostępu, a usunięcie pliku nie utrzyma go w pobliżu.

126. D. Chociaż systemy Linux mogą używać pliku jako przestrzeni wymiany, powszechnym rozwiązaniem jest użycie oddzielnej partycji jako przestrzeni wymiany. 127. A. Śledzenie wielu dysków wymaga starannej inwentaryzacji, rejestrowania dowodów i oznaczania dysków, aby upewnić się, że są one właściwym dyskiem i że są śledzone podczas dochodzenia kryminalistycznego. Marco powinien dokładnie oznaczyć każdy z dysków i upewnić się, że te tagi są używane podczas całego dochodzenia.

128. D. Flaga -v dla netcata ustawia go w trybie gadatliwym. Oznacza to, że Isaac próbował połączyć się z każdym portem od 1 do 1024 w 10.11.10.1 używając netcata. Ponieważ nie ma innych flag ani opcji, po prostu spróbuje się połączyć, a następnie przedstawi szczegółowe wyniki dotyczące tego, co się stało, co zaowocuje prostym, ale skutecznym skanowaniem portów.

129. Najlepszą opcją B. Tony′ego jest prawdopodobnie powstrzymywanie. Może chcieć usunąć tę lokalizację z sieci firmowej lub uniemożliwić dopuszczenie większości ruchu, dopóki nie będzie mógł dokładniej przyjrzeć się temu, co się dzieje. Gdyby wyizolował całą witrynę, mógłby zakłócić krytyczne operacje biznesowe, a segmentacja byłaby odpowiednia przed wystąpieniem zdarzenia.

130. C. Klauzule dotyczące prawa do audytu są powszechnie akceptowane jako część umów serwisowych i leasingowych niezależnie od lokalizacji w przypadku umów dotyczących kolokacji centrów danych i umów najmu obiektów. Jednak dostawcy usług w chmurze rzadziej podpisują umowę dotyczącą prawa do audytu. Zamiast tego mogą dostarczać dane audytu stron trzecich klientom, a nawet potencjalnym klientom.

131. D. Najlepszą opcją dla Alainy byłoby użycie filtra adresów URL, aby zablokować użytkownikom dostęp do odsyłacza w wiadomości phishingowej. Zapora WAF lub zapora aplikacji sieci Web została zaprojektowana w celu zapobiegania atakom na aplikację sieci Web. Łatanie może pomóc powstrzymać exploity podatnych na ataki usług lub systemów, ale jest to atak typu phishing, a lista dozwolonych zawiera listę dozwolonych i niezablokowanych elementów oraz ograniczanie witryn, które może odwiedzać cała firma, w większości przypadków jest prawie niemożliwe.

132. A. Playbooks wymienia działania, które organizacja podejmie w ramach procesu reagowania. Element Runbook zawiera listę kroków wymaganych do wykonania akcji, takiej jak powiadomienie, usunięcie złośliwego oprogramowania lub podobne zadania. Poradniki są zwykle używane do dokumentowania procesów, podczas gdy elementy runbook są zwykle używane do określonych akcji. Plan odzyskiwania po awarii (DR) służy do odzyskiwania po awarii, a plan ciągłości działania (BC) służy do zapewnienia ciągłości działania organizacji.

133. B. Ponieważ adresy MAC są widoczne tylko w domenie rozgłoszeniowej (sieci lokalnej), adresy MAC hostów zewnętrznych nie mogą być pobierane za pomocą polecenia arp. Za pomocą polecenia arp można określić adresy MAC systemów lokalnych, adresy IP hosta lokalnego oraz to, czy są dynamiczne, czy statyczne.

134. C. Narzędzie journalctl służy do wysyłania zapytań do dziennika systemd. W dystrybucjach Linuksa obsługujących systemd dziennik zawiera komunikaty jądra i rozruchu, a także komunikaty dziennika systemowego i komunikaty z usług.

135. C. Faza odzyskiwania często obejmuje dodawanie reguł zapory i łatanie systemów oprócz odbudowy systemów. Chociaż przygotowania mogą obejmować konfigurowanie reguł zapory lub regularne łatanie, nie są one wykonywane w odpowiedzi na incydent. Powstrzymywanie może dotyczyć obu, ale jest mniej prawdopodobne, ponieważ skupi się na szerszych poprawkach, a eliminacja działa w celu usunięcia zagrożenia.

136. A. Narzędzie wiersza polecenia curl obsługuje pobieranie i przesyłanie z wielu różnych usług i byłoby idealnym rozwiązaniem dla tego scenariusza. hping jest używany do tworzenia pakietów, nmap to skaner portów, a theHarvester to narzędzie do zbierania informacji o otwartym kodzie źródłowym, z których żadne nie spełnia potrzeb Gary′ego.

137. C. Gary powinien przyjrzeć się trendom w wykrywaniu złośliwego oprogramowania, aby sprawdzić, czy wykryto więcej infekcji niż w ostatnich tygodniach. Może to być użytecznym wskaźnikiem zmiany spowodowanej nową techniką złośliwego oprogramowania lub pakietem, udanym atakiem, w wyniku którego członkowie personelu klikają złośliwe łącza lub otwierają złośliwe wiadomości e-mail lub inne ścieżki prowadzące do organizacji. Gary mógł następnie skontaktować się z użytkownikami, których systemy zgłosiły złośliwe oprogramowanie, aby zobaczyć, co się stało. Alerty mogą pokazywać infekcje, ale nie pokazują danych w czasie tak łatwo, jak trendy. Czujniki pokażą poszczególne miejsca gromadzenia danych, a panele kontrolne przepustowości mogą pokazywać przydatne informacje o tym, które systemy wykorzystują mniej lub bardziej przepustowość, ale panel trendów pozostaje właściwym miejscem, w którym może zajrzeć w tej sytuacji.

138. B. Chociaż skoncentrowanie się na cyfrowej części kryminalistyki cyfrowej może być łatwe, wywiady z użytkownikami końcowymi i innymi osobami zaangażowanymi w incydent mogą być kluczowym elementem dochodzenia kryminalistycznego. Śledczy nadal muszą zbierać informacje i rejestrować to, co znaleźli, ale wywiad może dostarczyć wiedzy z pierwszej ręki i dodatkowych szczegółów, których nie da się odzyskać za pomocą środków technicznych, takich jak poczta elektroniczna lub analiza dysku. Łańcuch dowodowy nie dostarcza informacji o raportach od użytkowników końcowych.

139. B. Jedyną opcją na tej liście, która obsługuje wymagania Aarona, jest NXLog. Syslog może odbierać zdarzenia systemu Windows, jeśli zostaną przekonwertowane na syslog, ale nie jest to funkcja natywna. IPFIX jest standardem przepływu sieciowego, a do dostępu do dziennika systemd używa się journalctl.

140. A. Typowe typy ćwiczeń dla większości organizacji obejmują symulacje, które naśladują rzeczywisty proces reagowania na incydenty, instruktaże prowadzące personel przez wydarzenie oraz ćwiczenia planszowe, które są rozgrywane bez podejmowania rzeczywistych działań. Ćwiczenia są klasyfikowane jako bardziej skoncentrowane na konkretnych działaniach lub funkcjach i są mniej powszechne, ponieważ mogą skutkować nieumyślnymi działaniami lub błędami i nie obejmują całego incydentu.

141. A. Spośród wymienionych opcji, netstat jest jedynym narzędziem, które nie wykonuje skanowania portów.

142. C. Wierzchołek diamentu powinien być oznaczony jako Przeciwnik, jeden z czterech wierzchołków modelu Diamentu.

143. C. Elektroniczne wykrywanie lub e-discovery jest postępowaniem prawnym związanym z sporami sądowymi, wnioskami FoIA i podobnymi działaniami, które generują informacje w formie elektronicznej. W celu odzyskania danych w dochodzeniu może być wymagana e-mailowa ekspertyza śledcza, ale nic nie wskazuje na potrzebę przeprowadzenia dochodzenia kryminalistycznego. Inkwizycje i pochodzenie nie są pojęciami do egzaminu Security+.