Linux初级工程师知识竞赛题库附答案(6)

C、用户账号开设(正确答案)

D、托管管理

16、以下不是系统默认角色?

A、用户

B、本地管理员

C、部门经理(正确答案)

D、初级研判工程师

17、以下对托管服务认识错误的是?

A、托管服务会由中心侧服务工程师对用户本地告警进行研判

B、托管就是一切交给远程工程师本地工程师什么都不需要做了(正确答案)

C、托管服务是为了补足现场人力及能力,拓展5*8以外的服务。

D、托管不会上传用户本地原始数据。

18、以下对于工单的描述哪个是不正确的?

A、级别分为紧急,高,中,低

B、工单会有已闭环,未闭环,已超时的状态

C、超时的工单不需要再执行(正确答案)

D、工单的执行过程中可以查看整体流程

19、以下对于平台授权哪个是不正确的?

A、平台授权是由中心侧下发的

B、服务授权到期后需要更新授权

C、用户不需要提供联系人(正确答案)

D、授权会包含用户地区及行业信息

20、以下对于运营平台哪个说法是正确的?

A、平台是态势感知类平台

B、平台是日志审计类产品

C、平台将各种安全服务产品梳理成标准服务流程通过平台开展运营流转(正确答案)

D、平台是一个工单平台

七、全流量研判分析

1、产业互动全流量产品正确的名称()

A、威胁态势感知

B、日志分析平台

C、威胁检测系统

D、高级威胁检测与溯源分析系统(正确答案)

2、告警日志模块中,攻击描述为口令暴力破解的,可以直接封禁()[判断题]*

A、是

B、否(正确答案)

3、【首页】模块不展示()数据

A、威胁统计

B.近7日风险数据趋势

C.核心进程(正确答案)

D.运行情况

4、告警日志的威胁等级不包含()

A.疑

B.危

C.高

D.低(正确答案)

5、场景分析功能不包括()模块

A.木马邮件检测

B.异常主机检测

C.挖矿行为检测

D.开源情报检测(正确答案)

6、溯源分析功能不包括()模块

A.线索查证

B.后门查证(正确答案)

C.威胁情报生产

D.行为查证

7、想要了解内网中IP为192.168.10.153的资产与test.30wish.com(192.168.3.254)的流量情况,可行的操作是:()

A.在告警日志模块中筛查,源IP等于192.168.10.153并且目的IP等于192.168.3.254(正确答案)

B.在威胁事件模块中筛查,源域名等于test.30wish.com并且目的IP等于192.168.10.153

C.在资产管理中,搜索资产IP等于192.168.10.153的资产(正确答案)

D.在告警日志模块中筛查,源IP等于192.168.3.254并且目的IP等于192.168.10.153(正确答案)

8、在hvv中,通过情报发现被钓鱼且存在反连情况,可以查看()模块。

A.HTTP木马检测

B.邮件查证

C.异常通信检测

D.以上都是(正确答案)

9、对于全流量捕获结果需要进行二次处理,可以()

A.在告警日志模块选中流量,点击导出数据,下载到本地

B.在会话分析中,导出Pcap包

C.在数据详情中直接复制请求/响应信息

D.以上都可以(正确答案)

10、在hvv中,应该启动()功能

A.首页概况设置30秒自动刷新

B.告警日志设置1分钟自动刷新

C.威胁事件设置1分钟自动刷新

D.以上都设置(正确答案)

11、某项目现场被通报安全事件,但是全流量中搜索后没有具体告警信息,这时可以()

A.在威胁情报生产中新增黑名单信息(正确答案)

B.在威胁情报生产中将内网资产添加到白名单中(正确答案)

C.可能是0day攻击,筛选并导出通报资产流量进行二次分析(正确答案)

D.反馈通报为误报

12、现有项目现场收到挖矿域名相关的安全通报,需要工程师进行流量分析,以下对流量性质判断与处置最准确的是()

A.根据通报内容,在全流量中搜索威胁等级为危、高的流量,封禁源/目的IP。

B.根据通报内容,封禁通报中下提到的IP地址、域名或端口。

C.根据通报内容,通过开源情报搜索挖矿域名相关IP,经过与项目内资产对比后后在全流量中搜索挖矿相关内容并阻隔,在受影响的机器上进行查杀并持续监控,直到不再有挖矿流量。(正确答案)

D.根据通报内容,封禁所有在挖矿行为检测中的非资产IP和域名。

13、某项目现场,应用存在登录窗口,全流量中出现大量账户暴力破解告警,在处理流程中,以下()操作是正确的

A.筛选攻击类型为账户暴力破解的流量,整理所有非中国地区IP后统一封禁

B.筛选攻击类型为账户暴力破解的流量,整理所有非资产IP后统一封禁

C.筛选应用相关的所有流量,查看是否存在登录成功流量(正确答案)

D.将此类告警归类为误报,忽略相关流量

14、现某大型金融公司多个部门(甲方)由我司人员(乙方)进行渗透测试与定期巡检,巡检人员在机房全流量上发现多个内网服务器有大量攻击流量,以下那种方式是不正确的()

A.联系渗透测试成员,核对攻击行为后排除误报

B.筛选并分析攻击成功的流量,对非资产IP进行封禁(正确答案)

C.联系资产对应的具体甲方部门负责人,核实是否还有其他厂商在进行渗透测试或攻防演练

D.将过滤筛查时间段设置为从上次检测开始

15、某项目现场,通报服务器192.168.46.55(ec:d6:8a:59:f5:3c)通过DNS服务器192.168.3.1访问域名pool.minexmr[.]com(136.243.49.177)、t.zer9g[.]com(103.224.212.222)和服务器192.168.46.65(a4:dc:be:f7:d2:0b)通过DNS服务器192.168.3.1访问域名t.zz3r0[.]com(88.214.207.96)、t.zker9[.]com(216.245.213.78),以下哪条筛选规则是不准确的?()

A.(源IP=192.168.46.55并且(目的IP=136.243.49.177或者目的IP=103.224.212.222)(正确答案)

B.(源IP=192.168.46.55或者源MAC=ec:d6:8a:59:f5:3c)并且(目的IP=192.168.3.1或者目的IP=136.243.49.177或者目的IP=103.224.212.222)

C.(源IP=192.168.46.65或者源MAC=a4:dc:be:f7:d2:0b)并且(目的IP=88.214.207.96或者目的IP=216.245.213.78)

D.(源IP=192.168.46.65或者源IP=192.168.46.55)并且(目的IP=136.243.49.177或者目的IP=216.245.213.78)

16、某项目现场在第二季度巡检后,发现主机192.168.50.163存在木马程序,释放挖矿病毒,访问w.fbniunws[.]com和v.ldbnpioerno[.]com(31.0.70.44、31.0.247.76、31.0.74.250),现需要进行内网资产全面评估与溯源分析,以下筛选规则最准确的是()

A.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)

B.源IP=192.168.50.163或者目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250

C.目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250(正确答案)

E.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)并且(目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250)