Professional Documents
Culture Documents
13.2.2.13 Lab - Incident Handling (Completo)
13.2.2.13 Lab - Incident Handling (Completo)
Objectives
Apply your knowledge of security incident handling procedures to formulate questions about given incident
scenarios.
Background / Scenario
Computer security incident response has become a vital part of any organization. The process for handling a
security incident can be complicated and involve many different groups. An organization must have standards
for responding to incidents in the form of policies, procedures, and checklists. To properly respond to a
security incident, the security analyst must be trained to understand what to do, and must also follow all of the
guidelines outlined by the organization. There are many resources available to help organizations create and
maintain a computer incident response handling policy, but the NIST Special Publication 800-61 is specifically
called by the CCNA CyberOps SECOPS exam topics. This publication can be found here:
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
_______________________________________________________________________________________
Lab – Incident Handling
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Page 1 of 3 www.netacad.com
Detection and Analysis:
Las capacidades de detección automática incluyen IDPS basados en red y host, software antivirus y
analizadores de registro. Los incidentes también pueden detectarse a través de medios manuales, como los
problemas reportados por Usuarios. Algunos incidentes tienen signos evidentes que pueden detectarse
fácilmente, mientras que otros son casi imposibles de detectar.
_______________________________________________________________________________________
_______________________________________________________________________________________
Containment, Eradication, and Recovery:
Redirigir al atacante a una caja de arena (una forma de contención) para que puedan monitorear la actividad
del atacante, generalmente para reunir evidencia adicional.
Después de contener un incidente, la erradicación puede ser necesaria para eliminar los componentes del
incidente, como eliminar malware y deshabilitar las cuentas de usuario violadas, así como identificar y mitigar
todas las vulnerabilidades que fueron explotadas.
_______________________________________________________________________________________
Post-Incident Activity:
Las preguntas que deben responderse en la reunión incluyen:
_______________________________________________________________________________________
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Page 2 of 3 www.netacad.com
The security teams practice the kill chain model and they understand how to use the VERIS database. For an
extra layer of protection, they have partially outsourced staffing to an MSSP for 24/7 monitoring.
Lab – Incident Handling
Preparation:
Si los controles de seguridad son insuficientes, pueden ocurrir grandes volúmenes de incidentes, abrumando
al equipo de respuesta a incidentes. Esto puede llevar a respuestas lentas e incompletas, lo que se traduce
en un mayor impacto comercial negativo.
_______________________________________________________________________________________
_______________________________________________________________________________________
Detection and Analysis:
Algunos incidentes son fáciles de detectar, como una página web obviamente desfigurada. Sin embargo,
muchos incidentes no están asociados con síntomas tan claros. Signos pequeños, como un cambio en un
archivo de configuración del sistema, pueden ser los únicos indicadores de que ocurrió un incidente. el
manejo, la detección puede ser la tarea más difícil. Los manejadores de incidentes son responsables de
analizar los síntomas ambiguos, contradictorios e incompletos para determinar qué ha ocurrido.
_______________________________________________________________________________________
_______________________________________________________________________________________
Containment, Eradication, and Recovery:
Uso de bases de datos de incidentes. Varios grupos recopilan y consolidan datos de incidentes de varias
organizaciones en bases de datos de incidentes. Este intercambio de información puede llevarse a cabo de
muchas formas, como rastreadores y listas negras en tiempo real. . Tener una copia de seguridad seimpe
ayudará.
_______________________________________________________________________________________
_______________________________________________________________________________________
Post-Incident Activity:
Las actividades de lecciones aprendidas deben producir un conjunto de datos objetivos y subjetivos con respecto
a cada incidente. Con el tiempo, los datos recopilados del incidente deben ser útiles en varias capacidades. Los
datos, en particular el total de horas de participación y el costo, pueden utilizarse para justificar fondos
adicionales. del equipo de respuesta a incidentes. Un estudio de las características del incidente puede indicar
debilidades y amenazas sistémicas de seguridad, así como cambios en las tendencias de incidentes.
_______________________________________________________________________________________
_______________________________________________________________________________________
Cisco and/or its affiliates. All rights reserved. Cisco Confidential Page 3 of 3 www.netacad.com