FortiSiem 1

Questions and Answers

¿Qué componente de FortiSIEM es responsable de analizar eventos en tiempo real y generar incidentes?

• Supervisor (correct)
• Event Processor
• Worker
• Collector

¿Qué campo en una regla de FortiSIEM determina cómo se agrupan los eventos para generar un incidente?

• Filters
• Group By (correct)
• Aggregate
• Condition Time

¿Dónde se configura una acción automatizada (como bloquear una IP en FortiGate) cuando se dispara un incidente?

• Response Template
• Automation Policy (correct)
• Event Rule
• Notification Policy

¿Cuál de las siguientes NO es una categoría de incidentes en FortiSIEM?

Compliance (B)

¿Qué se requiere para bloquear dinámicamente IPs maliciosas en FortiGate basado en análisis UEBA?

Usar una conexión API (C)

¿Qué tipo de datos se pueden importar para entrenar modelos de machine learning en FortiSIEM? (Elige dos)

Syslog archives (C), CSV files (D)

Un evento con la etiqueta PH_DEV_MON_DATASTORE_UTIL pertenece a la categoría:

Performance (D)

¿Qué se debe configurar para aplicar etiquetas ZTNA desde FortiSIEM a dispositivos en FortiClient EMS?

Conexión API de FortiSIEM a EMS (A)

¿Para qué se utilizan las "Lookup Tables" en FortiSIEM?

Enriquecer eventos con datos contextuales (D)

Si una regla está configurada con "Define Condition Time = 300 segundos", ¿qué significa?

Los eventos deben coincidir dentro de una ventana de 300 segundos para disparar un incidente (C)

¿Qué operador lógico se usa en FortiSIEM para crear una regla que active un incidente cuando un evento sea A o B?

OR (C)

¿Qué configuración permite que una regla se dispare solo después de que un evento ocurra 5 veces en 10 minutos?

Group By: srcIP, Count: 5, Condition Time: 600s (D)

¿Qué protocolo usa FortiSIEM para recibir logs de un FortiGate de forma predeterminada?

Syslog (C)

¿Qué tipo de anomalía detecta UEBA cuando un usuario accede a un recurso a una hora inusual?

Anomalía temporal (D)

¿Qué lenguaje de scripting se usa comúnmente en las Automation Policies de FortiSIEM para acciones personalizadas?

Python (C)

¿Qué opción permite programar un reporte para que se envíe por correo cada lunes a las 8 AM?

Usar la opción Schedule en el reporte (B)

Un dispositivo aparece como "Down" en FortiSIEM. ¿Qué mecanismo verifica su estado?

ICMP ping (D)

¿Qué tipo de incidente generaría una regla que detecta modificaciones en las reglas de un firewall?

Change (D)

¿Qué herramienta de FortiSIEM permite asociar una IP interna con el nombre del departamento correspondiente?

Lookup Table (D)

¿Qué acción NO puede realizar una Automation Policy en FortiSIEM?

Reiniciar un servidor físico (D)

¿Qué ventana de tiempo máximo permite el "Event Viewer" de FortiSIEM para buscar eventos históricos?

Depende de la retención configurada (D)

¿Dónde se define el nivel de riesgo (Risk Score) de un incidente en FortiSIEM?

En la sección Incident Settings (B)

¿Qué información se sincroniza desde un servidor LDAP/Active Directory a FortiSIEM?

Usuarios y grupos (A)

¿Qué tipo de widget NO está disponible en los dashboards de FortiSIEM?

Video en tiempo real (A)

Antes de activar una regla en producción, ¿qué herramienta de FortiSIEM permite probar su impacto?

Rule Simulator (A)

What is the first step in FortiSIEM's incident response workflow when a high-severity incident is detected?

Assign the incident to an analyst for investigation (B)

How does FortiSIEM dynamically group devices for monitoring based on their attributes?

Through CMDB synchronization (D)

When managing multiple tenants in FortiSIEM, what feature ensures one tenant cannot access another's data?

Role-Based Access Control (RBAC) (B)

What type of network anomaly can FortiSIEM detect using NetFlow data?

Unusual bandwidth consumption (A)

Which format does FortiSIEM use to import external threat intelligence feeds?

STIX/TAXII (B)

What technique in FortiSIEM helps reduce false positives in incident generation?

Applying whitelists to exception rules (A)

Which compliance framework templates are not natively included in FortiSIEM?

ISO 27001 (B)

When analyzing an incident, which FortiSIEM feature shows the full chain of related events?

Incident Timeline (B)

For AWS monitoring, what FortiSIEM component receives CloudTrail logs?

Collector with AWS API integration (B)

What language is used to define custom log parsers in FortiSIEM?

Regular Expressions (RegEx) (B)

In a FortiSIEM HA deployment, what component synchronizes data between primary and secondary nodes?

PostgreSQL replication (C)

How does FortiSIEM map incidents to the MITRE ATT&CK framework?

Predefined rule-to-tactic mappings (D)

Which FortiSIEM report helps identify top talkers in a network?

Host Traffic Summary (C)

When integrating with ServiceNow, what authentication method does FortiSIEM use?

OAuth 2.0 (C)

What happens when FortiSIEM's storage quota is reached?

Collection pauses until space is freed (A)

Which Windows Event ID is commonly monitored for account lockouts?

4771 (B)

How does FortiSIEM process SNMP traps from network devices?

Via dedicated Trap Receiver service (B)

Which FortiSIEM capability helps detect zero-day malware?

Anomaly detection via UEBA (A)

What FortiSIEM rule would detect concurrent VPN logins from different countries?

Group By: User, Aggregate: COUNT, Condition: GeoIP mismatch (A)

Where are custom fields for incident enrichment defined?

Incident Settings > Custom Attributes (C)

What protocol does FortiSIEM use to send SMS alerts?

SNPP (D)

After deploying a new rule, what metric indicates it's too noisy?

High false positive rate (D)

What is the primary purpose of a FER in distributed deployments?

Load balancing event processing (B)

How does FortiSIEM prevent API overload from external integrations?

Token bucket algorithm (A)

What happens when FortiSIEM's EPS (Events Per Second) license is exceeded?

Alerts trigger but processing continues (B)

Flashcards

¿Qué componente analiza eventos?

Analiza eventos en tiempo real y genera incidentes.

¿Qué campo agrupa eventos?

Determina cómo se agrupan los eventos para generar un incidente.

¿Dónde configurar bloqueo automático?

Se configura aquí una acción automatizada al dispararse un incidente.

¿Qué NO es una categoría de incidente?

Las categorías oficiales son: Security, Performance, Availability, Change, Other.

¿Qué se necesita para bloquear dinámicamente?

Se requiere una conexión API para el bloqueo dinámico.

¿Qué datos entrenan el machine learning?

Syslog archives y CSV files.

¿A qué categoría pertenece PH_DEV_MON_DATASTORE_UTIL?

Performance

¿Qué se necesita para etiquetas ZTNA?

Se necesita una Conexión API de FortiSIEM a EMS.

¿Para qué sirven las Lookup Tables?

Enriquecer eventos con datos contextuales.

¿Qué significa 'Define Condition Time = 300 segundos'?

Los eventos deben coincidir en una ventana de 300 segundos.

¿Qué operador lógico usar para A o B?

OR

¿Cómo disparar una regla después de 5 eventos en 10 minutos?

Group By: srcIP, Count: 5, Condition Time: 600s

¿Qué protocolo usa FortiSIEM para recibir logs?

Syslog

¿Qué anomalía detecta UEBA por hora inusual?

Anomalía temporal

¿Qué scripting se usa en Automation Policies?

Python

¿Cómo programar un reporte semanal?

Usar la opción Schedule en el reporte

¿Qué verifica el estado de un dispositivo 'Down'?

ICMP ping

¿Qué incidente detecta modificaciones en reglas de firewall?

Change

¿Qué asocia IP interna con departamento?

Lookup Table

¿Qué NO puede hacer una Automation Policy?

Reiniciar un servidor físico

¿Cuál es la ventana de tiempo máximo en el 'Event Viewer'?

Depende de la retención configurada

¿Dónde se define el nivel de riesgo de un incidente?

En la sección Incident Settings

¿Qué se sincroniza desde LDAP?

Usuarios y grupos

¿Qué tipo de widget NO está disponible en dashboards?

Video en tiempo real

¿Qué herramienta prueba el impacto de una regla?

Rule Simulator

¿Cuál es el primer paso en el flujo de respuesta a incidentes?

Asignar el incidente a un analista para investigación

¿Cómo agrupa dinámicamente FortiSIEM los dispositivos?

A través de la sincronización CMDB

¿Qué función asegura que un inquilino no acceda a los datos de otro?

Control de acceso basado en roles (RBAC)

¿Qué tipo de anomalía de red puede detectar FortiSIEM usando datos de NetFlow?

Consumo inusual de ancho de banda

¿Qué formato utiliza FortiSIEM para importar fuentes externas de inteligencia?

STIX/TAXII

¿Qué técnica en FortiSIEM ayuda a reducir los falsos positivos en la generación de incidentes?

Aplicar listas blancas a reglas de excepción

¿Qué plantillas de marco de cumplimiento NO están incluidas de forma nativa en FortiSIEM?

ISO 27001

Al analizar un incidente, ¿qué función de FortiSIEM muestra la cadena completa de eventos relacionados?

Cronología de Incidentes

Para la supervisión de AWS, ¿qué componente de FortiSIEM recibe registros de CloudTrail?

Colector con integración de API de AWS

¿Qué lenguaje se utiliza para definir analizadores de logs personalizados en FortiSIEM?

Expresiones Regulares (RegEx)

En una implementación de FortiSIEM HA, ¿qué componente sincroniza los datos entre los nodos primario y secundario?

Replicación PostgreSQL

¿Cómo mapea FortiSIEM los incidentes al marco MITRE ATT&CK?

Asignaciones predefinidas de regla a táctica

¿Qué informe de FortiSIEM ayuda a identificar a los principales comunicadores en una red?

Resumen de Tráfico del Host

Al integrarse con ServiceNow, ¿qué método de autenticación utiliza FortiSIEM?

OAuth 2.0

¿Qué sucede cuando se alcanza la cuota de almacenamiento de FortiSIEM?

La recopilación se pausa hasta que se libere espacio

Study Notes

Arquitectura de FortiSIEM

• El Supervisor es el componente de FortiSIEM encargado de analizar eventos en tiempo real y generar incidentes.

Reglas y correlación de eventos

• El campo "Group By" en una regla de FortiSIEM determina cómo se agrupan los eventos para generar un incidente.

Automatización y políticas de respuesta

• Una acción automatizada se configura en la "Automation Policy" cuando se dispara un incidente.

Categorías de incidentes

• "Compliance" no es una categoría oficial de incidentes en FortiSIEM; las categorías oficiales son Seguridad, Rendimiento, Disponibilidad, Cambios y Otros.

UEBA (User and Entity Behavior Analytics)

• Se requiere una conexión API para bloquear dinámicamente IPs maliciosas en FortiGate basado en análisis UEBA.

Machine Learning en FortiSIEM

• Se pueden importar archivos Syslog y CSV para entrenar modelos de machine learning en FortiSIEM.

Monitoreo de rendimiento (PAM)

• Un evento con la etiqueta PH_DEV_MON_DATASTORE_UTIL pertenece a la categoría "Performance".

ZTNA y FortiClient EMS

• Se debe configurar una conexión API de FortiSIEM a EMS para aplicar etiquetas ZTNA desde FortiSIEM a dispositivos en FortiClient EMS.

Lookup Tables

• Las "Lookup Tables" en FortiSIEM se utilizan para enriquecer eventos con datos contextuales, como asociar una IP con un nombre de departamento.

Tiempo de condición en reglas

• Si una regla está configurada con "Define Condition Time = 300 segundos", significa que los eventos deben coincidir dentro de una ventana de 300 segundos para disparar un incidente.

Filtrado de Eventos

• El operador lógico "OR" se usa en FortiSIEM para crear una regla que active un incidente cuando un evento sea A o B.

Thresholds en Reglas

• La configuración para que una regla se dispare solo después de que un evento ocurra 5 veces en 10 minutos es Group By: srcIP, Count: 5, Condition Time: 600s.

Integración con FortiGate

• Syslog es el protocolo predeterminado que usa FortiSIEM para recibir logs de un FortiGate.

Análisis de Comportamiento (UEBA)

• UEBA detecta una anomalía temporal cuando un usuario accede a un recurso a una hora inusual.

Automatización con Scripts

• Python es el lenguaje de scripting comúnmente usado en las "Automation Policies" de FortiSIEM para acciones personalizadas, como bloquear IPs vía API.

Reportes Personalizados

• La opción "Schedule" en el reporte permite programar un reporte para que se envíe por correo cada lunes a las 8 AM.

Monitorización de Disponibilidad

• ICMP ping es el mecanismo que verifica el estado de un dispositivo que aparece como "Down" en FortiSIEM, dentro de PAM (Performance and Availability Monitoring).

Reglas de Cambio (Change)

• Una regla que detecta modificaciones en las reglas de un firewall generaría un incidente de tipo "Change".

Enriquecimiento de Datos

• La herramienta de FortiSIEM que permite asociar una IP interna con el nombre del departamento correspondiente es una "Lookup Table".

Mitigación Automatizada

• Una "Automation Policy" en FortiSIEM NO puede reiniciar un servidor físico pues FortiSIEM no tiene control directo sobre hardware físico.

Análisis Forense

• La ventana de tiempo máximo que permite el "Event Viewer" de FortiSIEM para buscar eventos históricos depende de la retención configurada.

Reglas Basadas en Riesgo

• El nivel de riesgo (Risk Score) de un incidente en FortiSIEM se define en la sección "Incident Settings", asignando un valor de 0-100.

Integración con LDAP

• Desde un servidor LDAP/Active Directory a FortiSIEM se sincronizan "Usuarios y grupos" para enriquecer eventos con datos de usuarios.

Dashboards Personalizados

• Un widget de "Video en tiempo real" NO está disponible en los dashboards de FortiSIEM.

Validación de Reglas

• "Rule Simulator" es la herramienta de FortiSIEM que permite probar el impacto de una regla antes de activarla en producción.

Flujo de trabajo de respuesta a incidentes

• El primer paso en el flujo de trabajo de respuesta a incidentes de FortiSIEM cuando se detecta un incidente de alta gravedad es asignar el incidente a un analista para su investigación.

Agrupación dinámica de dispositivos

• FortiSIEM agrupa dinámicamente los dispositivos para la monitorización basándose en sus atributos a través de la sincronización CMDB.

Gestión de multi-tenancy

• Al gestionar múltiples tenants en FortiSIEM, la función que garantiza que un tenant no pueda acceder a los datos de otro es el Control de Acceso Basado en Roles (RBAC).

Análisis de NetFlow

• FortiSIEM puede detectar un consumo de ancho de banda inusual utilizando datos de NetFlow.

Integración de inteligencia sobre amenazas

• FortiSIEM utiliza el formato STIX/TAXII para importar feeds de inteligencia sobre amenazas externos.

Reducción de falsos positivos

• La aplicación de listas blancas a las reglas de excepción ayuda a reducir los falsos positivos en la generación de incidentes en FortiSIEM.

Informe de cumplimiento

• Las plantillas de marco de cumplimiento ISO 27001 no están incluidas de forma nativa en FortiSIEM; otras están disponibles.

Investigación forense

• Al analizar un incidente, la función de FortiSIEM que muestra la cadena completa de eventos relacionados es la línea de tiempo del incidente.

Recopilación de registros en la nube

• Para la monitorización de AWS, el componente de FortiSIEM que recibe los registros de CloudTrail es el colector con integración de la API de AWS.

Reglas de análisis personalizadas

• Se utilizan expresiones regulares (RegEx) para definir analizadores de registros personalizados en FortiSIEM.

Configuración de alta disponibilidad

• En la implementación de HA de FortiSIEM, el componente que sincroniza los datos entre los nodos primario y secundario es la replicación de PostgreSQL.

Integración de MITRE ATT&CK

• FortiSIEM asigna incidentes al marco MITRE ATT&CK mediante asignaciones predefinidas de regla a táctica.

Monitorización del ancho de banda

• El informe de FortiSIEM que ayuda a identificar a los principales emisores en una red es el Resumen del tráfico de hosts.

Creación automatizada de tickets

• Al integrarse con ServiceNow, FortiSIEM utiliza el método de autenticación OAuth 2.0.

Optimización del almacenamiento

• Cuando se alcanza la cuota de almacenamiento de FortiSIEM, la recopilación se pausa hasta que se libera espacio.

Análisis del registro de eventos de Windows

• El ID de evento de Windows que se monitoriza comúnmente para los bloqueos de cuenta es el 4771.

Manejo de trampas SNMP

• FortiSIEM procesa las trampas SNMP de los dispositivos de red a través del servicio dedicado del receptor de trampas.

Detección de ataques de día cero

• La capacidad de FortiSIEM que ayuda a detectar malware de día cero es la detección de anomalías a través de UEBA.

Monitorización de sesiones VPN

• Una regla de FortiSIEM que detectaría inicios de sesión VPN simultáneos desde diferentes países es Agrupar por: Usuario, Agregar: RECUENTO, Condición: Desajuste de GeoIP.

Campos de incidente personalizados

• Los campos personalizados para el enriquecimiento de incidentes se definen en Configuración del incidente > Atributos personalizados.

Alerta en tiempo real

• FortiSIEM utiliza el protocolo SNPP para enviar alertas SMS.

Ajuste de reglas

• Después de implementar una nueva regla, la métrica que indica que es demasiado ruidosa es una alta tasa de falsos positivos.

FER (Receptor de eventos de reenvío)

• El propósito principal de un FER en las implementaciones distribuidas es el procesamiento de eventos de equilibrio de carga.

Limitación de la velocidad de la API

• FortiSIEM evita la sobrecarga de la API de las integraciones externas mediante el algoritmo del cubo de tokens.

Gestión de licencias

• Cuando se supera la licencia de FortiSIEM EPS (Eventos por segundo), las alertas se activan pero el procesamiento continúa.