Linux初级工程师知识竞赛题库(答案)(6)

C.挖矿行为检测

D.开源情报检测(正确答案)

6、溯源分析功能不包括()模块

A.线索查证

B.后门查证(正确答案)

C.威胁情报生产

D.行为查证

7、想要了解内网中IP为192.168.10.153的资产与test.30wish.com(192.168.3.254)的流量情况,可行的操作是:()

A.在告警日志模块中筛查,源IP等于192.168.10.153并且目的IP等于192.168.3.254(正确答案)

B.在威胁事件模块中筛查,源域名等于test.30wish.com并且目的IP等于192.168.10.153

C.在资产管理中,搜索资产IP等于192.168.10.153的资产(正确答案)

D.在告警日志模块中筛查,源IP等于192.168.3.254并且目的IP等于192.168.10.153(正确答案)

8、在hvv中,通过情报发现被钓鱼且存在反连情况,可以查看()模块。

A.HTTP木马检测

B.邮件查证

C.异常通信检测

D.以上都是(正确答案)

9、对于全流量捕获结果需要进行二次处理,可以()

A.在告警日志模块选中流量,点击导出数据,下载到本地

B.在会话分析中,导出Pcap包

C.在数据详情中直接复制请求/响应信息

D.以上都可以(正确答案)

10、在hvv中,应该启动()功能

A.首页概况设置30秒自动刷新

B.告警日志设置1分钟自动刷新

C.威胁事件设置1分钟自动刷新

D.以上都设置(正确答案)

11、某项目现场被通报安全事件,但是全流量中搜索后没有具体告警信息,这时可以()

A.在威胁情报生产中新增黑名单信息(正确答案)

B.在威胁情报生产中将内网资产添加到白名单中(正确答案)

C.可能是0day攻击,筛选并导出通报资产流量进行二次分析(正确答案)

D.反馈通报为误报

12、现有项目现场收到挖矿域名相关的安全通报,需要工程师进行流量分析,以下对流量性质判断与处置最准确的是()

A.根据通报内容,在全流量中搜索威胁等级为危、高的流量,封禁源/目的IP。

B.根据通报内容,封禁通报中下提到的IP地址、域名或端口。

C.根据通报内容,通过开源情报搜索挖矿域名相关IP,经过与项目内资产对比后后在全流量中搜索挖矿相关内容并阻隔,在受影响的机器上进行查杀并持续监控,直到不再有挖矿流量。(正确答案)

D.根据通报内容,封禁所有在挖矿行为检测中的非资产IP和域名。

13、某项目现场,应用存在登录窗口,全流量中出现大量账户暴力破解告警,在处理流程中,以下()操作是正确的

A.筛选攻击类型为账户暴力破解的流量,整理所有非中国地区IP后统一封禁

B.筛选攻击类型为账户暴力破解的流量,整理所有非资产IP后统一封禁

C.筛选应用相关的所有流量,查看是否存在登录成功流量(正确答案)

D.将此类告警归类为误报,忽略相关流量

14、现某大型金融公司多个部门(甲方)由我司人员(乙方)进行渗透测试与定期巡检,巡检人员在机房全流量上发现多个内网服务器有大量攻击流量,以下那种方式是不正确的()

A.联系渗透测试成员,核对攻击行为后排除误报

B.筛选并分析攻击成功的流量,对非资产IP进行封禁(正确答案)

C.联系资产对应的具体甲方部门负责人,核实是否还有其他厂商在进行渗透测试或攻防演练

D.将过滤筛查时间段设置为从上次检测开始

15、某项目现场,通报服务器192.168.46.55(ec:d6:8a:59:f5:3c)通过DNS服务器192.168.3.1访问域名pool.minexmr[.]com(136.243.49.177)、t.zer9g[.]com(103.224.212.222)和服务器192.168.46.65(a4:dc:be:f7:d2:0b)通过DNS服务器192.168.3.1访问域名t.zz3r0[.]com(88.214.207.96)、t.zker9[.]com(216.245.213.78),以下哪条筛选规则是不准确的?()

A.(源IP=192.168.46.55并且(目的IP=136.243.49.177或者目的IP=103.224.212.222)(正确答案)

B.(源IP=192.168.46.55或者源MAC=ec:d6:8a:59:f5:3c)并且(目的IP=192.168.3.1或者目的IP=136.243.49.177或者目的IP=103.224.212.222)

C.(源IP=192.168.46.65或者源MAC=a4:dc:be:f7:d2:0b)并且(目的IP=88.214.207.96或者目的IP=216.245.213.78)

D.(源IP=192.168.46.65或者源IP=192.168.46.55)并且(目的IP=136.243.49.177或者目的IP=216.245.213.78)

16、某项目现场在第二季度巡检后,发现主机192.168.50.163存在木马程序,释放挖矿病毒,访问w.fbniunws[.]com和v.ldbnpioerno[.]com(31.0.70.44、31.0.247.76、31.0.74.250),现需要进行内网资产全面评估与溯源分析,以下筛选规则最准确的是()

A.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)

B.源IP=192.168.50.163或者目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250

C.目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250(正确答案)

E.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)并且(目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250)

17、第一次分析某客户的全流量告警,应该()

A、直接看设备中的告警

B、提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)

C、只看设备中命中威胁等级为高的告警

D、在分析告警的时候再和现场运维沟通

18、在全流量中发现告警,发现攻击者请求内容为http://127.0.0.1/sqllib/Less-1/?id=-1%27union%20select%201,group()concat(schema()name),3%20from%20information()schema.schemata–+,攻击者的攻击方式为:

A、SQL注入

B、跨站脚本攻击

C、上传木马

D、爆破账户密码

答案:A

19、你在设备上发现了一条告警,被攻击的端口为3389,该端口最有可能是():

A、mysql数据库开放端口

B、redis数据库开放端口

C、Windows远程桌面的服务端口

D、ssh端口

答案:C

20、在全流量设备上发现用户存在弱口令登录行为,你不应该():

A、记录后继续分析,检查是否还有其他用户使用相同弱口令

B、通知现场的运维,进行告警验证

C、直接登录发现弱口令的账号,查看里面的敏感信息

D、编写报告时,记录该问题

答案:C

21、在分析时,你发现全流量设备存储的数据时间跨度很长,数据量巨大,告警非常多,你不应该():

A、直接进行分析

B、通知现场运维注意设备内存情况

C、加载合适时间段的告警后开始分析

D、针对客户的资产创建子快照,针对分析

答案:A

22、在分析CS架构的全流量设备时,你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击,你应该如何写搜索表达式():

A、(ip.dst==192.168.20.30and(protocol==HTTPand((port.dst==80)andip.src==192.168.49.60)))

B、(ip.dst==192.168.49.60and(protocol==HTTPand((port.dst==80)andip.src==192.168.20.30)))

C、(ip.dst==192.168.20.30and(protocol==TCPand((port.dst==80)andip.src==192.168.49.60)))

D、(ip.dst==192.168.49.60and(protocol==TCPand((port.src==80)andip.src==192.168.20.30)))

答案:A

23、在第一次分析某客户流量告警时,发现有一内网IP对内网其他应用有持续的攻击行为,你的判断/做法是():

A、这个资产失陷了,记录下来写在报告中

B、核对资产清单后询问运维是否是扫描器行为再做判断

C、失陷主机在尝试横向移动,赶紧让用户封禁这个IP

D、一看就是用户的扫描器,把该IP加入白名单

答案:B

24、对于全流量设备发现的告警,你的态度是()

A、无条件相信设备的告警

B、设备显示什么告警都直接记录在报告中

C、每一条告警都具体分析

D、分析最具特征的告警,对告警进行验证后再提交

答案:D

25、当你发现了一个IP与一个矿池域名存在交互,你与客户确认后得知这个IP是一台小交换机,你的建议是()

A、建议客户把这台小交换机的流量给到全流量设备后做具体定位

B、让客户检查这一台小交换机