LW 16 - #12

Question 1

detectieve maatregelen

Answer 1

maatregelen die vaststellen of een bedreiging zich manifesteert

Question 2

het proces van logging en monitoring

Answer 2

zorgt ervoor dat de gebeurtenissen (events) over de toestand en het gebruik van geautomatiseerde systemen worden vastgelegd en gevolgd
- hiermee kunnen beveiligingsincidenten worden gedetecteerd en aangepakt

Question 3

SIEM - security information and event management

Answer 3

het proces logging en monitoring en de aansluiting hiervan op het proces incident management dmv geautomatiseerde tooling

Question 4

event logging

Answer 4

het loggen van gebeurtenissen over de toestand en het gebruik van systemen

Question 5

noem voorbeelden van gebeurtenissen die worden gelogd bij event logging

Answer 5

ongeautoriseerde netwerktoegang
het bereiken van een opslaglimiet
het in- of uitloggen van een gebruiker
verstoringen in het productieproces
het overschrijven of verwijderen van logbestanden

Question 6

waar kunnen event logs kunnen worden gegeneerd?

Answer 6

overal;
netwerklaag (router, firewall)
het besturingssysteem
specifieke applicatie

Question 7

de tweede fase is monitoring; waar bestaat deze fase uit?

Answer 7

het verzamelen en analyseren van de verschillende logbestanden

Question 8

welke 4 stappen vinden er plaats in het proces van monitoring?

Answer 8

collectie
aggregatie
analyse
correlatie

Question 9

collectie

Answer 9

het verzamelen van de verschillende logbestanden op een centrale logserver

Question 10

aggregatie

Answer 10

het samenvoegen van de verschillende logbestanden, zodat bijvoorbeeld een IP-adres over verschillende events en apparaten gevolgd kan worden

Question 11

analyse

Answer 11

het interpreteren van events in geaggregeerde logbestanden, waarbij bijvoorbeeld obv een vooraf gedefinieerde lijst met event en de bijbehorende impact/prioriteit gekeken wordt of een event belangrijk genoeg is om te vermelden

Question 12

correlatie

Answer 12

het combineren van verschillende events over verschillende devices tot 1 nieuw event obv een gemene deler (ip-adres/datum/tijd)

Question 13

de laatste fase is rapportage; waar bestaat het uit?

Answer 13

het bestaat uit het periodiek opstellen van rapportages over events en beveiligingsincidenten

Question 14

met welk proces heeft rapportage een belangrijk raakvlak?

Answer 14

incident managementproces

Question 15

sommige organisaties zijn vaak nog onvoldoende in staat om bepaalde gebeurtenissen te loggen; welke factoren spelen er hierbij een rol?

Answer 15

onvoldoende gerelateerd aan bedrijfs- of procesrisico
onvoldoende prioritering
false positives
false negatives 
onvoldoende kundige resources
tool als doel en niet als middel

blz188

Question 16

SOC - security operations center

Answer 16

een centrale plek in de organisatie waar zaken als logging en monitoring worden uitgevoerd

Question 17

welke processen komen in een SOC bij elkaar?

Answer 17

logging
monitoring
incident management
kwetsbaarheidsbeheer
toegangsbeheer

Question 18

malware

Answer 18

verzamelnaam van allerlei soorten kwaadaardige programmatuur

Question 19

enkele bekende soorten malware

Answer 19

virus
worm
bot
trojaans paard
logische bom
spyware
adware
ransomware
keylogger

Question 20

verwante bedreigingen

Answer 20

Hoax, Spam, Phishing, social engineering

Question 21

wat is een beveiligingsmaatregel tegen malware

Answer 21

Antimalware

Question 22

antimalware

Answer 22

Spoort malware op en kan deze neutraliseren

-Wordt vaak ten onrechte antivirus genoemd.
Werkt langs twee opsporingslijnen door controleren bestanden op:
▪ bestaande malware (zoeken naar de “handtekening”)
▪ Onbekende malware (zoeken naar verdachte code, heuristische analyse)
Loopt snel achter de feiten aan

Question 23

Beveiligingsmaatregel tegen malware

Answer 23

Back-up en restore

Question 24

Beveiligingsmaatregel tegen verwante bedreigingen

Hoax, Spam, Phishing

Answer 24

Voorlichting