Linux初级工程师知识竞赛题库及答案(4)

9、以下对用户角色哪个是正确的?

A、一个用户可以赋予多个角色(正确答案)

B、用户名可以重复

C、用户可以随意删除

D、一个角色只能有一个用户

10、以下哪个不是运营中心的功能?

A、运营总览

B、工单管理

C、风险处置(正确答案)

D、个人工作台

11、对于流程设置以下说法哪个是正确的?

A、一个流程节点只能由一个账号执行

B、一个流程只能设置3个节点

C、在并行网关前的任务需要都完成后才能进行到下一个节点(正确答案)

D、选择多个账号后没有选择多人执行也需要所有所选账号完成节点任务

12、以下对于任务哪个描述是错误的?

A、任务可以选择日周月为周期

B、任务可以设置过去的时间(正确答案)

C、重保任务可以通过专题任务设置

D、一次性任务也可以通过任务中心提前预约下发

13、以下那个不是重保场景的阶段?

A、准备阶段

B、实战阶段

C、攻击阶段(正确答案)

D、总结阶段

14、以下对于托管的描述哪个是正确的?

A、托管服务只可以5*8服务

B、托管服务可以制定服务周期和时间(正确答案)

C、托管服务不可用提前设定

D、托管需要不需要用户同意

15、以下哪个不需要和中心侧连接?

A、在线咨询

B、专家支持

C、用户账号开设(正确答案)

D、托管管理

16、以下不是系统默认角色?

A、用户

B、本地管理员

C、部门经理(正确答案)

D、初级研判工程师

17、以下对托管服务认识错误的是?

A、托管服务会由中心侧服务工程师对用户本地告警进行研判

B、托管就是一切交给远程工程师本地工程师什么都不需要做了(正确答案)

C、托管服务是为了补足现场人力及能力,拓展5*8以外的服务。

D、托管不会上传用户本地原始数据。

18、以下对于工单的描述哪个是不正确的?

A、级别分为紧急,高,中,低

B、工单会有已闭环,未闭环,已超时的状态

C、超时的工单不需要再执行(正确答案)

D、工单的执行过程中可以查看整体流程

19、以下对于平台授权哪个是不正确的?

A、平台授权是由中心侧下发的

B、服务授权到期后需要更新授权

C、用户不需要提供联系人(正确答案)

D、授权会包含用户地区及行业信息

20、以下对于运营平台哪个说法是正确的?

A、平台是态势感知类平台

B、平台是日志审计类产品

C、平台将各种安全服务产品梳理成标准服务流程通过平台开展运营流转(正确答案)

D、平台是一个工单平台

七、全流量研判分析

1、产业互动全流量产品正确的名称()

A、威胁态势感知

B、日志分析平台

C、威胁检测系统

D、高级威胁检测与溯源分析系统(正确答案)

2、告警日志模块中,攻击描述为口令暴力破解的,可以直接封禁()[判断题]*

A、是

B、否(正确答案)

3、【首页】模块不展示()数据

A、威胁统计

B.近7日风险数据趋势

C.核心进程(正确答案)

D.运行情况

4、告警日志的威胁等级不包含()

A.疑

B.危

C.高

D.低(正确答案)

5、场景分析功能不包括()模块

A.木马邮件检测

B.异常主机检测

C.挖矿行为检测

D.开源情报检测(正确答案)

6、溯源分析功能不包括()模块

A.线索查证

B.后门查证(正确答案)

C.威胁情报生产

D.行为查证

7、想要了解内网中IP为192.168.10.153的资产与test.30wish.com(192.168.3.254)的流量情况,可行的操作是:()

A.在告警日志模块中筛查,源IP等于192.168.10.153并且目的IP等于192.168.3.254(正确答案)

B.在威胁事件模块中筛查,源域名等于test.30wish.com并且目的IP等于192.168.10.153

C.在资产管理中,搜索资产IP等于192.168.10.153的资产(正确答案)

D.在告警日志模块中筛查,源IP等于192.168.3.254并且目的IP等于192.168.10.153(正确答案)

8、在hvv中,通过情报发现被钓鱼且存在反连情况,可以查看()模块。

A.HTTP木马检测

B.邮件查证

C.异常通信检测

D.以上都是(正确答案)

9、对于全流量捕获结果需要进行二次处理,可以()

A.在告警日志模块选中流量,点击导出数据,下载到本地

B.在会话分析中,导出Pcap包

C.在数据详情中直接复制请求/响应信息

D.以上都可以(正确答案)

10、在hvv中,应该启动()功能

A.首页概况设置30秒自动刷新

B.告警日志设置1分钟自动刷新

C.威胁事件设置1分钟自动刷新

D.以上都设置(正确答案)

11、某项目现场被通报安全事件,但是全流量中搜索后没有具体告警信息,这时可以()

A.在威胁情报生产中新增黑名单信息(正确答案)

B.在威胁情报生产中将内网资产添加到白名单中(正确答案)

C.可能是0day攻击,筛选并导出通报资产流量进行二次分析(正确答案)

D.反馈通报为误报

12、现有项目现场收到挖矿域名相关的安全通报,需要工程师进行流量分析,以下对流量性质判断与处置最准确的是()

A.根据通报内容,在全流量中搜索威胁等级为危、高的流量,封禁源/目的IP。

B.根据通报内容,封禁通报中下提到的IP地址、域名或端口。

C.根据通报内容,通过开源情报搜索挖矿域名相关IP,经过与项目内资产对比后后在全流量中搜索挖矿相关内容并阻隔,在受影响的机器上进行查杀并持续监控,直到不再有挖矿流量。(正确答案)

D.根据通报内容,封禁所有在挖矿行为检测中的非资产IP和域名。

13、某项目现场,应用存在登录窗口,全流量中出现大量账户暴力破解告警,在处理流程中,以下()操作是正确的

A.筛选攻击类型为账户暴力破解的流量,整理所有非中国地区IP后统一封禁

B.筛选攻击类型为账户暴力破解的流量,整理所有非资产IP后统一封禁

C.筛选应用相关的所有流量,查看是否存在登录成功流量(正确答案)

D.将此类告警归类为误报,忽略相关流量

14、现某大型金融公司多个部门(甲方)由我司人员(乙方)进行渗透测试与定期巡检,巡检人员在机房全流量上发现多个内网服务器有大量攻击流量,以下那种方式是不正确的()

A.联系渗透测试成员,核对攻击行为后排除误报

B.筛选并分析攻击成功的流量,对非资产IP进行封禁(正确答案)

C.联系资产对应的具体甲方部门负责人,核实是否还有其他厂商在进行渗透测试或攻防演练

D.将过滤筛查时间段设置为从上次检测开始

15、某项目现场,通报服务器192.168.46.55(ec:d6:8a:59:f5:3c)通过DNS服务器192.168.3.1访问域名pool.minexmr[.]com(136.243.49.177)、t.zer9g[.]com(103.224.212.222)和服务器192.168.46.65(a4:dc:be:f7:d2:0b)通过DNS服务器192.168.3.1访问域名t.zz3r0[.]com(88.214.207.96)、t.zker9[.]com(216.245.213.78),以下哪条筛选规则是不准确的?()

A.(源IP=192.168.46.55并且(目的IP=136.243.49.177或者目的IP=103.224.212.222)(正确答案)

B.(源IP=192.168.46.55或者源MAC=ec:d6:8a:59:f5:3c)并且(目的IP=192.168.3.1或者目的IP=136.243.49.177或者目的IP=103.224.212.222)

C.(源IP=192.168.46.65或者源MAC=a4:dc:be:f7:d2:0b)并且(目的IP=88.214.207.96或者目的IP=216.245.213.78)

D.(源IP=192.168.46.65或者源IP=192.168.46.55)并且(目的IP=136.243.49.177或者目的IP=216.245.213.78)

16、某项目现场在第二季度巡检后,发现主机192.168.50.163存在木马程序,释放挖矿病毒,访问w.fbniunws[.]com和v.ldbnpioerno[.]com(31.0.70.44、31.0.247.76、31.0.74.250),现需要进行内网资产全面评估与溯源分析,以下筛选规则最准确的是()

A.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)

B.源IP=192.168.50.163或者目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250

C.目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250(正确答案)

E.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)并且(目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250)

17、第一次分析某客户的全流量告警,应该()

A、直接看设备中的告警

B、提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)

C、只看设备中命中威胁等级为高的告警

D、在分析告警的时候再和现场运维沟通

18、在全流量中发现告警,发现攻击者请求内容为http://127.0.0.1/sqllib/Less-1/?id=-1%27union%20select%201,group()concat(schema()name),3%20from%20information()schema.schemata–+,攻击者的攻击方式为:

A、SQL注入

B、跨站脚本攻击

C、上传木马

D、爆破账户密码

答案:A

19、你在设备上发现了一条告警,被攻击的端口为3389,该端口最有可能是():

A、mysql数据库开放端口

B、redis数据库开放端口

C、Windows远程桌面的服务端口

D、ssh端口

答案:C

20、在全流量设备上发现用户存在弱口令登录行为,你不应该():

A、记录后继续分析,检查是否还有其他用户使用相同弱口令

B、通知现场的运维,进行告警验证

C、直接登录发现弱口令的账号,查看里面的敏感信息

D、编写报告时,记录该问题

答案:C

21、在分析时,你发现全流量设备存储的数据时间跨度很长,数据量巨大,告警非常多,你不应该():

A、直接进行分析

B、通知现场运维注意设备内存情况

C、加载合适时间段的告警后开始分析

D、针对客户的资产创建子快照,针对分析

答案:A

22、在分析CS架构的全流量设备时,你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击,你应该如何写搜索表达式():

A、(ip.dst==192.168.20.30and(protocol==HTTPand((port.dst==80)andip.src==192.168.49.60)))

B、(ip.dst==192.168.49.60and(protocol==HTTPand((port.dst==80)andip.src==192.168.20.30)))

C、(ip.dst==192.168.20.30and(protocol==TCPand((port.dst==80)andip.src==192.168.49.60)))

D、(ip.dst==192.168.49.60and(protocol==TCPand((port.src==80)andip.src==192.168.20.30)))

答案:A

23、在第一次分析某客户流量告警时,发现有一内网IP对内网其他应用有持续的攻击行为,你的判断/做法是():

A、这个资产失陷了,记录下来写在报告中

B、核对资产清单后询问运维是否是扫描器行为再做判断

C、失陷主机在尝试横向移动,赶紧让用户封禁这个IP

D、一看就是用户的扫描器,把该IP加入白名单

答案:B

以上相关的更多内容请点击Linux初级工程师知识查看,该题目的答案为网上收集整理仅供参考!

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

大家都在搜

相关推荐:

猜您喜欢