Linux初级工程师知识竞赛题库(答案)(6)
C.挖矿行为检测
D.开源情报检测(正确答案)
6、溯源分析功能不包括()模块
A.线索查证
B.后门查证(正确答案)
C.威胁情报生产
D.行为查证
7、想要了解内网中IP为192.168.10.153的资产与test.30wish.com(192.168.3.254)的流量情况,可行的操作是:()
A.在告警日志模块中筛查,源IP等于192.168.10.153并且目的IP等于192.168.3.254(正确答案)
B.在威胁事件模块中筛查,源域名等于test.30wish.com并且目的IP等于192.168.10.153
C.在资产管理中,搜索资产IP等于192.168.10.153的资产(正确答案)
D.在告警日志模块中筛查,源IP等于192.168.3.254并且目的IP等于192.168.10.153(正确答案)
8、在hvv中,通过情报发现被钓鱼且存在反连情况,可以查看()模块。
A.HTTP木马检测
B.邮件查证
C.异常通信检测
D.以上都是(正确答案)
9、对于全流量捕获结果需要进行二次处理,可以()
A.在告警日志模块选中流量,点击导出数据,下载到本地
B.在会话分析中,导出Pcap包
C.在数据详情中直接复制请求/响应信息
D.以上都可以(正确答案)
10、在hvv中,应该启动()功能
A.首页概况设置30秒自动刷新
B.告警日志设置1分钟自动刷新
C.威胁事件设置1分钟自动刷新
D.以上都设置(正确答案)
11、某项目现场被通报安全事件,但是全流量中搜索后没有具体告警信息,这时可以()
A.在威胁情报生产中新增黑名单信息(正确答案)
B.在威胁情报生产中将内网资产添加到白名单中(正确答案)
C.可能是0day攻击,筛选并导出通报资产流量进行二次分析(正确答案)
D.反馈通报为误报
12、现有项目现场收到挖矿域名相关的安全通报,需要工程师进行流量分析,以下对流量性质判断与处置最准确的是()
A.根据通报内容,在全流量中搜索威胁等级为危、高的流量,封禁源/目的IP。
B.根据通报内容,封禁通报中下提到的IP地址、域名或端口。
C.根据通报内容,通过开源情报搜索挖矿域名相关IP,经过与项目内资产对比后后在全流量中搜索挖矿相关内容并阻隔,在受影响的机器上进行查杀并持续监控,直到不再有挖矿流量。(正确答案)
D.根据通报内容,封禁所有在挖矿行为检测中的非资产IP和域名。
13、某项目现场,应用存在登录窗口,全流量中出现大量账户暴力破解告警,在处理流程中,以下()操作是正确的
A.筛选攻击类型为账户暴力破解的流量,整理所有非中国地区IP后统一封禁
B.筛选攻击类型为账户暴力破解的流量,整理所有非资产IP后统一封禁
C.筛选应用相关的所有流量,查看是否存在登录成功流量(正确答案)
D.将此类告警归类为误报,忽略相关流量
14、现某大型金融公司多个部门(甲方)由我司人员(乙方)进行渗透测试与定期巡检,巡检人员在机房全流量上发现多个内网服务器有大量攻击流量,以下那种方式是不正确的()
A.联系渗透测试成员,核对攻击行为后排除误报
B.筛选并分析攻击成功的流量,对非资产IP进行封禁(正确答案)
C.联系资产对应的具体甲方部门负责人,核实是否还有其他厂商在进行渗透测试或攻防演练
D.将过滤筛查时间段设置为从上次检测开始
15、某项目现场,通报服务器192.168.46.55(ec:d6:8a:59:f5:3c)通过DNS服务器192.168.3.1访问域名pool.minexmr[.]com(136.243.49.177)、t.zer9g[.]com(103.224.212.222)和服务器192.168.46.65(a4:dc:be:f7:d2:0b)通过DNS服务器192.168.3.1访问域名t.zz3r0[.]com(88.214.207.96)、t.zker9[.]com(216.245.213.78),以下哪条筛选规则是不准确的?()
A.(源IP=192.168.46.55并且(目的IP=136.243.49.177或者目的IP=103.224.212.222)(正确答案)
B.(源IP=192.168.46.55或者源MAC=ec:d6:8a:59:f5:3c)并且(目的IP=192.168.3.1或者目的IP=136.243.49.177或者目的IP=103.224.212.222)
C.(源IP=192.168.46.65或者源MAC=a4:dc:be:f7:d2:0b)并且(目的IP=88.214.207.96或者目的IP=216.245.213.78)
D.(源IP=192.168.46.65或者源IP=192.168.46.55)并且(目的IP=136.243.49.177或者目的IP=216.245.213.78)
16、某项目现场在第二季度巡检后,发现主机192.168.50.163存在木马程序,释放挖矿病毒,访问w.fbniunws[.]com和v.ldbnpioerno[.]com(31.0.70.44、31.0.247.76、31.0.74.250),现需要进行内网资产全面评估与溯源分析,以下筛选规则最准确的是()
A.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)
B.源IP=192.168.50.163或者目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250
C.目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250(正确答案)
E.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)并且(目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250)
17、第一次分析某客户的全流量告警,应该()
A、直接看设备中的告警
B、提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)
C、只看设备中命中威胁等级为高的告警
D、在分析告警的时候再和现场运维沟通
18、在全流量中发现告警,发现攻击者请求内容为http://127.0.0.1/sqllib/Less-1/?id=-1%27union%20select%201,group()concat(schema()name),3%20from%20information()schema.schemata–+,攻击者的攻击方式为:
A、SQL注入
B、跨站脚本攻击
C、上传木马
D、爆破账户密码
答案:A
19、你在设备上发现了一条告警,被攻击的端口为3389,该端口最有可能是():
A、mysql数据库开放端口
B、redis数据库开放端口
C、Windows远程桌面的服务端口
D、ssh端口
答案:C
20、在全流量设备上发现用户存在弱口令登录行为,你不应该():
A、记录后继续分析,检查是否还有其他用户使用相同弱口令
B、通知现场的运维,进行告警验证
C、直接登录发现弱口令的账号,查看里面的敏感信息
D、编写报告时,记录该问题
答案:C
21、在分析时,你发现全流量设备存储的数据时间跨度很长,数据量巨大,告警非常多,你不应该():
A、直接进行分析
B、通知现场运维注意设备内存情况
C、加载合适时间段的告警后开始分析
D、针对客户的资产创建子快照,针对分析
答案:A
22、在分析CS架构的全流量设备时,你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击,你应该如何写搜索表达式():
A、(ip.dst==192.168.20.30and(protocol==HTTPand((port.dst==80)andip.src==192.168.49.60)))
B、(ip.dst==192.168.49.60and(protocol==HTTPand((port.dst==80)andip.src==192.168.20.30)))
C、(ip.dst==192.168.20.30and(protocol==TCPand((port.dst==80)andip.src==192.168.49.60)))
D、(ip.dst==192.168.49.60and(protocol==TCPand((port.src==80)andip.src==192.168.20.30)))
答案:A
23、在第一次分析某客户流量告警时,发现有一内网IP对内网其他应用有持续的攻击行为,你的判断/做法是():
A、这个资产失陷了,记录下来写在报告中
B、核对资产清单后询问运维是否是扫描器行为再做判断
C、失陷主机在尝试横向移动,赶紧让用户封禁这个IP
D、一看就是用户的扫描器,把该IP加入白名单
答案:B
24、对于全流量设备发现的告警,你的态度是()
A、无条件相信设备的告警
B、设备显示什么告警都直接记录在报告中
C、每一条告警都具体分析
D、分析最具特征的告警,对告警进行验证后再提交
答案:D
25、当你发现了一个IP与一个矿池域名存在交互,你与客户确认后得知这个IP是一台小交换机,你的建议是()
A、建议客户把这台小交换机的流量给到全流量设备后做具体定位
B、让客户检查这一台小交换机