当你发现了一个IP与一个矿池域名存在交互，你与客户确认后得知这个IP是一台小交换机，你的建议是（）A.建议客户把这台小交换机的流量给到全流量设备后做具体定位(正确答案)B.让客户检查这一台小交换机C.让客户逐一排查接在这台小交换机下的设备D

在分析CS架构的全流量设备时，你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击，你应该如何写搜索表达式（）:A.(ip.dst==192.168.20.30and(protocol==HT

在分析时，你发现全流量设备存储的数据时间跨度很长，数据量巨大，告警非常多，你不应该（）:A.直接进行分析(正确答案)B.通知现场运维注意设备内存情况C.加载合适时间段的告警后开始分析D.针对客户的资产创建子快照，针对分析

在全流量中发现告警，发现攻击者请求内容为http:127.0.0.1sqllibLess-1？id=-1%27union%20select%201,group（）concat(schema（）name),3%20from%20informa

第一次分析某客户的全流量告警，应该（）A.直接看设备中的告警B.提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)C.只看设备中命中威胁等级为高的告警D.在分析告警的时候再和现场运维沟通

某项目现场，应用存在登录窗口，全流量中出现大量账户暴力破解告警，在处理流程中，以下（）操作是正确的A.筛选攻击类型为账户暴力破解的流量，整理所有非中国地区IP后统一封禁B.筛选攻击类型为账户暴力破解的流量，整理所有非资产IP后统一封禁C.筛

某项目现场被通报安全事件，但是全流量中搜索后没有具体告警信息，这时可以（）A.在威胁情报生产中新增黑名单信息(正确答案)B.在威胁情报生产中将内网资产添加到白名单中(正确答案)C.可能是0day攻击，筛选并导出通报资产流量进行二次分析(正确

对于全流量捕获结果需要进行二次处理，可以（）A.在告警日志模块选中流量，点击导出数据，下载到本地B.在会话分析中，导出Pcap包C.在数据详情中直接复制请求响应信息D.以上都可以(正确答案)

在hvv中，通过情报发现被钓鱼且存在反连情况，可以查看（）模块。A.HTTP木马检测B.邮件查证C.异常通信检测D.以上都是(正确答案)

场景分析功能不包括（）模块A.木马邮件检测B.异常主机检测C.挖矿行为检测D.开源情报检测(正确答案)

告警日志模块中，攻击描述为口令暴力破解的，可以直接封禁（）[判断题]*A.是B.否(正确答案)

以下哪个不需要和中心侧连接？A.在线咨询B.专家支持C.用户账号开设(正确答案)D.托管管理

以下对于托管的描述哪个是正确的？A.托管服务只可以5*8服务B.托管服务可以制定服务周期和时间(正确答案)C.托管服务不可用提前设定D.托管需要不需要用户同意

以下那个不是重保场景的阶段？A.准备阶段B.实战阶段C.攻击阶段(正确答案)D.总结阶段

以下对于任务哪个描述是错误的？A.任务可以选择日周月为周期B.任务可以设置过去的时间(正确答案)C.重保任务可以通过专题任务设置D.一次性任务也可以通过任务中心提前预约下发

以下对用户角色哪个是正确的？A.一个用户可以赋予多个角色(正确答案)B.用户名可以重复C.用户可以随意删除D.一个角色只能有一个用户

以下对于服务管理哪个是正确的？A.流程不能更改不能定制B.表单不可复用不可修改C.通过服务可绑定流程表单及角色节点(正确答案)D.服务不可按照事件级别设置交付时间

以下对于研判中心那个描述正确？A.研判中心不能看到告警B.研判中心不可以通过研判存在风险后生产风险处置工单C.研判中心在本地不能研判的时候通过流程上报中心侧帮助研判(正确答案)D.研判中心告警不能看到告警关联日志

以下对于日志泛化的描述哪个是正确的？A.一个安全设备只需要泛化一个规则B.泛化插件不可用复用C.一个安全设备可能需要多个泛化插件(正确答案)D.日志泛化后不需要测试验证

以下对于资产中心的初始化操作过程描述哪个是正确的？A.资产建模→关系建模→添加资产→资产关联→提交审批(正确答案)B.添加资产→添加业务应用→提交审批C.资产建模→添加资产→提交审批→变更资产D.添加资产→编辑资产→添加应用资产→资产关联