Security Operations Flashcards
¿Qué es un evento?
An observable change in state (en forma positiva). P. ej. cuando un sistema se prende
¿Qué es una alerta?
Flagged events that may require further investigation to determine if an incident has taken place (en forma negativa).
¿Qué es un incidente?
Adverse impact to the system or network. Primary goal is to really containt the damages and correct the system. Multiple negative events make an incident.
Para efectos del examen, ¿cómo se debe pensar en el término Incident Reponse?
Always think as an attack, as malicious intrusion.
What’s considered an inappropiate usage?
A violation of the acceptable use of a system.
¿Cuáles son los 4 pasos de la respuesta a incidentes?
- Preparation
- Detection and analysis (what was the nature of the attack)
- Containment, erradication and recovery.
- Post-incident review.
¿Qué es un problema?
An incident with an unknown cause is referred to as a problem.
¿Cuáles son los pasos del “problem management”?
- Incident notification
- Root cause analysis
- Solution determination
- Request for change
- Implement solution
- Monitor and report
¿Cuál es el objetivo del cómputo forense?
Collect evidences in such manner that it be admissible in court.
¿Cuáles son algunos de los principios establecidos por la IOCE y la SWGDE?
- Evidence should not be altered as a result of collection.
- If a person is to access original digital evidence, that person must be trained for such purpose.
- Si la cadena de custodia es rota, puede resultar en que la evidencia sea inadmisible.
Digital evidence must (5 concepts):
- Authentic, garantizar su orígen, que no haya sido modificada.
- Accurate, garantizar su exactitud.
- Complete, needs to tell the history complete.
- Convincing, convincente
- Admissible
¿Cuáles son los pasos del proceso de investigación forense?
1) Identificación
2) Preservación
3) Collection
4) Examination
5) Analysis
6) Presentation
7) Decision
¿Qué dice el principio de Lockard?
When a crime is committed, the attacker takes something and leaves something behind.
¿A que se refiere el término Preservation?
Chain of custody must be well documented. A history of how the evidence was, collected, analyzed, transported, preserved.
¿A que se refiere el término Collection?
- Minimize handling/corruption of evidence
- Keep detailed logs of your actions
- Capture an accurate image of the system
- Work fast, work from volatile to persistence evidence.
¿A que se refiere el término Examination?
- Collecting data
- Look for signatures of known attacks
- Review audit logs
- Hidden Data recovery
¿A que se refiere el término Analysis?
- Primary image (original) vs. working copy (copy)
- Working image should be a bit by bit copy of original
- Analizamos sobre la copia, obtenemos el HASH y debe ser igual al que se obtuvo para la copia en un principio.
¿A que se refiere el término Presentation?
- Interpreting the results of the investigation and presenting the findings in an appropiate format.
¿A que se refiere el término Decision?
- What’s the result of the investigation
¿Cuáles son los tipos de evidencia que existen?
- Direct evidence
- Real evidence
- Best evidence
- Secondary evidence
- Corroborative evidence
- Evidencia circunstancial
- Hearsay
- Demonstrative
¿Qué es la EVIDENCIA DIRECTA?
Can prove a fact by itself and does not need backup information. P. ej. Testimonio de testigos.
¿Qué es la EVIDENCIA REAL?
Physical evidence. Los objetos usados en el crimen.
¿Qué es la BEST EVIDENCE?
Most reliable, for instance: a signature contract
¿Qué es la SECONDARY EVIDENCE?
Not strong enough to stand alone, but can support other evidence. P.ej. la opinión de un experto.
¿Qué es la CORROBORATIVE EVIDENCE?
Support evidence. Backs up other information presented. Can’t stand on it’s own.
¿Qué es la EVIDENCIA CIRCUNSTANCIAL?
Por ejemplo, que alguien diga que va a robar un banco y al otro día circunstancialmente dicho banco es robado.
¿Qué es la evidencia HEARSAY?
Second hand oral or written. P. ej. “Jhon heard that Bill heard that…”, copies of a document.
¿Qué es la EVIDENCIA DEMOSTRATIVA?
Presentation based. P. ej. Photos of a crime scene, x-rays, etc.
¿A que se refiere el término “enticement”?
Tempting a potential criminal.
- Legal and ethical
- Honey pot
¿A que se refiere el término “entrapment”?
Tricking a person into commiting a crime.
- Ilegal and unethical
What’s a hot spare?
Son refacciones listas e instaladas para funcionar.
What’s a cold spare?
Son refacciones almacenadas en el closet, sin instalar aún.
¿Qué significan las siglas MTBF?
Mean Time Before Failure.
Métrica que se toma en cuenta para las refacciones.
¿Qué significa RAID?
Redundant Array of Inexpensive Disk (Devices)
Características del RAID 0:
- No redundant
- No fault tolerance
- Disk stripping
- Data is strip into the two discs.
- SPEED AND PERFORMACE
Características del RAID 1:
- Fault tolerance
- Disk mirroring (two replicas) exactly identical disks
Características del RAID 5:
- Disk stripping with parity
- Fault Tolerance + speed
¿Qué son los servidores redundantes?
Primary server mirrors data to secondary server:
- If primary fails it rolls over to secondary
- Server fault tolerance
¿A qué se refiere el término “clustering”?
- Multiple server acting as a single logic unit.
- Group of servers that are managed as a single system.
Ventajas de los cluster:
- Higher availability
- Greater scalability
- Easier to manage instead of individual systems
Características de los cluster:
- Looks like a single server to the user (server farm)
- May provide redundancy, load balancing, or both.
¿Cuáles son los tipos de backups (respaldos)?
- Full backup
- Incremental Backup
- Differential Backup
Características de un Full backup:
- Backup everything
- Archive bit is reset.
- Server crash –> restore last backup
Características de un Incremental Backup:
- Backs up all files that have been modified since last backup.
- Archive bit is reset.
- Everything is change since last back up.
- Server crash –> restore last full back up + all incremental backup
Características de un Differential Backup:
- Backs up all files that have been modified since last full backup.
- Archive bit is not reset.
- Server crash –> restore last full backup + last differential backup
¿Cuál es el respaldo más rápido de restaurar?
Full Backup
¿Cuál es el respaldo más lento en restaurar?
Incremental.
¿Qué es un archive bit?
It’s like a flag, que indica que un archivo cambió. Bandera alzada.
¿Qué es un “Copy Backup”?
- Same as a full backup, but archive bit is not reset.
- Use before upgrades, or system maintenance.
¿A qué se refiere el término “Disk Shadowing”?
- Mirror technology
- Updating one or more copies of data at the same time
- Data saved to two media types for redundancy
BACKUP BACKUP
What’s Electroning Vaulting?
- Copy of modified file is sent to a remote location where an original backup is stored.
- Transfers bulk backup information
- Batch process of moving data, P.ej. batch every hour
What’s remote journaling?
- Moves the journal or transaction log to a remote location, not the actual files.
TRANSACTIONAL LOGS.
