Linux初级工程师知识竞赛题库及答案（158题）

9、对于全流量捕获结果需要进行二次处理，可以（）

A.在告警日志模块选中流量，点击导出数据，下载到本地

B.在会话分析中，导出Pcap包

C.在数据详情中直接复制请求/响应信息

D.以上都可以(正确答案)

10、在hvv中，应该启动（）功能

A.首页概况设置30秒自动刷新

B.告警日志设置1分钟自动刷新

C.威胁事件设置1分钟自动刷新

D.以上都设置(正确答案)

11、某项目现场被通报安全事件，但是全流量中搜索后没有具体告警信息，这时可以（）

A.在威胁情报生产中新增黑名单信息(正确答案)

B.在威胁情报生产中将内网资产添加到白名单中(正确答案)

C.可能是0day攻击，筛选并导出通报资产流量进行二次分析(正确答案)

D.反馈通报为误报

12、现有项目现场收到挖矿域名相关的安全通报，需要工程师进行流量分析，以下对流量性质判断与处置最准确的是（）

A.根据通报内容，在全流量中搜索威胁等级为危、高的流量，封禁源/目的IP。

B.根据通报内容，封禁通报中下提到的IP地址、域名或端口。

C.根据通报内容，通过开源情报搜索挖矿域名相关IP，经过与项目内资产对比后后在全流量中搜索挖矿相关内容并阻隔，在受影响的机器上进行查杀并持续监控，直到不再有挖矿流量。(正确答案)

D.根据通报内容，封禁所有在挖矿行为检测中的非资产IP和域名。

13、某项目现场，应用存在登录窗口，全流量中出现大量账户暴力破解告警，在处理流程中，以下（）操作是正确的

A.筛选攻击类型为账户暴力破解的流量，整理所有非中国地区IP后统一封禁

B.筛选攻击类型为账户暴力破解的流量，整理所有非资产IP后统一封禁

C.筛选应用相关的所有流量，查看是否存在登录成功流量(正确答案)

D.将此类告警归类为误报，忽略相关流量

14、现某大型金融公司多个部门（甲方）由我司人员（乙方）进行渗透测试与定期巡检，巡检人员在机房全流量上发现多个内网服务器有大量攻击流量，以下那种方式是不正确的（）

A.联系渗透测试成员，核对攻击行为后排除误报

B.筛选并分析攻击成功的流量，对非资产IP进行封禁(正确答案)

C.联系资产对应的具体甲方部门负责人，核实是否还有其他厂商在进行渗透测试或攻防演练

D.将过滤筛查时间段设置为从上次检测开始

15、某项目现场，通报服务器192.168.46.55（ec:d6:8a:59:f5:3c）通过DNS服务器192.168.3.1访问域名pool.minexmr[.]com（136.243.49.177）、t.zer9g[.]com（103.224.212.222）和服务器192.168.46.65（a4:dc:be:f7:d2:0b）通过DNS服务器192.168.3.1访问域名t.zz3r0[.]com（88.214.207.96）、t.zker9[.]com（216.245.213.78），以下哪条筛选规则是不准确的？（）

A.(源IP=192.168.46.55并且(目的IP=136.243.49.177或者目的IP=103.224.212.222)(正确答案)

B.(源IP=192.168.46.55或者源MAC=ec:d6:8a:59:f5:3c)并且(目的IP=192.168.3.1或者目的IP=136.243.49.177或者目的IP=103.224.212.222)

C.(源IP=192.168.46.65或者源MAC=a4:dc:be:f7:d2:0b)并且(目的IP=88.214.207.96或者目的IP=216.245.213.78)

★《布宫号》提醒您：民俗信仰仅供参考，请勿过度迷信！