哪个术语可用于描述原始状态的证据?
选择一项:
补强证据
最佳证据
间接证据
直接证据
反馈
Refer to curriculum topic: 12.3.1
可对证据进行如下分类:
最佳证据:是指原始状态的证据。它可能是被告使用的存储设备或可证明未经修改的文件档案。
补强证据:是指支持已得到初步证据支持的提案的证据,因此确认了最初的提案。
间接证据:此证据与其他事实相结合,以建立一个假设。
正确答案是:最佳证据
根据 NIST,电子取证过程中的哪一步涉及根据数据得出结论?
选择一项:
收集
检查
分析
报告
反馈
Refer to curriculum topic: 12.3.1
NIST 将电子取证过程描述为以下四个步骤:
收集 - 识别调查分析数据的潜在来源,获取、处理并存储这些数据。
检查 - 根据收集到的数据进行评估并提取相关信息。这可能涉及数据的解压或解密。
分析 - 根据数据得出结论。应记录诸如人员、地点、时间、事件等重要特征。
报告 - 编制并展示根据分析得出的信息。报告应不偏不倚,适当的情况下应提供多种解释。
正确答案是:分析
填空题。
思科 Talos 提供交互式控制面板,可用于调查威胁形势。
企业日志搜索和存档 (ELSA) 工具中使用了哪两种技术?(选择两项。)
选择一项或多项:
MySQL
CapME
Suricata
Sphinx Search
Security Onion
反馈
Refer to curriculum topic: 12.2.1
企业日志搜索和存档 (ELSA) 是一种企业级工具,允许源自多个来源的 NSM 数据搜索和存档。ELSA 通过 Syslog-NG 接收日志,将日志存储在 MySQL 数据库中并使用 Sphinx Search 制作索引。
正确答案是:MySQL, Sphinx Search
集成到 Security Onion 中是哪种基于主机的入侵检测工具?
选择一项:
OSSEC
Snort
Sguil
Wireshark
反馈
Refer to curriculum topic: 12.1.1
OSSEC 集成在 Security Onion 中,是一种基于主机的入侵检测系统 (HIDS),可以执行文件完整性监控、本地日志监控、系统进程监控和 Rootkit 检测。
正确答案是:OSSEC
一名网络安全分析师将使用 Security Onion 验证安全警报。分析师应先访问哪个工具?
选择一项:
Bro
Sguil
ELSA
CapME
反馈
Refer to curriculum topic: 12.2.2
网络安全分析师的主要职责是验证安全警报。在 Security Onion 中,网络安全分析师将验证警报的第一个位置即为 Sguil,因为 Sguil 为调查来自各种来源的安全警报提供了一个高级控制台。
正确答案是:Sguil
填空题。
确定成功执行入侵或攻击事件的个人、组织或国家的行为称为威胁 归因 ?
请参见图示。Sguil 应用窗口中的哪个字段指示事件或关联事件组的优先级?
选择一项:
CNT
ST
Pr
AlertID
反馈
Refer to curriculum topic: 12.1.1
Sguil 应用窗口有多个提供事件相关信息的可用字段。ST 字段提供事件状态,包括从浅黄色到红色的颜色编码优先级,以指示四个优先级。
正确答案是:ST
正确还是错误?
现代网络安全工具已足够完善,可以检测和防止所有漏洞攻击。
选择一项:
正确
错误
反馈
Refer to curriculum topic: 12.1.2
正确答案是:错误
该正则表达式将与哪两个字符串相匹配?(选择两项。)
…[24]
选择一项或多项:
Level1
Level2
Level3
Level4
Level5
反馈
Refer to curriculum topic: 12.2.2
调查分析师可以使用正则表达式搜索大量文本信息以确定数据模式。正则表达式中使用的一些常用运算符如下所示:
$ 行尾。
[] 方括号内的任何单个值。
*前置子表达式零次或多次。
[^1] 任何字符,[^ 和 ] 约束的字符除外。
正确答案是:Level2, Level4
填空题。
错误 正警报分类浪费网络安全分析师的时间,他们最终会调查结果并未构成威胁的事件。
填空题。
决策者可以利用 确定性 分析,基于已知漏洞信息进行风险评估。
正确还是错误?
优化 Sguil,以提供大型企业和众多员工的网络运营工作流管理。
选择一项:
正确
错误
反馈
Refer to curriculum topic: 12.2.3
Sguil 提供适合小型企业的基本工作流管理。对于大型企业,可采用第三方工作流管理系统。
正确答案是:错误
哪种警报分类表明已安装的安全系统未检测到漏洞攻击?
选择一项:
漏报
正确良性检测
正确恶意检测
误报
反馈
Refer to curriculum topic: 12.1.2
漏报分类表示安全系统未检测到实际的漏洞攻击。
正确答案是:漏报
正确还是错误?
源和目的 MAC 地址是用于跟踪源和目的应用之间的会话的五元组的一部分。
选择一项:
正确
错误
反馈
Refer to curriculum topic: 12.1.1
五元组包括第 3 层和第 4 层报头的五个字段。这五个字段分别为源 IP、目的 IP、源端口、目的端口和 IP 协议号。
正确答案是:错误
数据规范化有何用途?
选择一项:
减少警报数据量
使警报数据传输速度更快
简化关联事件的搜索
加强警报数据的安全传输
反馈
Refer to curriculum topic: 12.2.1
通过数据规范化,各种数据源合并为一种通用的显示格式,简化了类似或相关事件的搜索。
正确答案是:简化关联事件的搜索
.
.
.
.
.
*—————— 素质三连~~~orz// ——————
*—— 欢迎点击关注 cookie 的博客!orz// ——
————— 关注了即可查看更多 —————
*————— 记得常来康康!orz// —————
———— 后续还将更新更多实用干货! ————