在检测到SMB扫描是出现1小时扫描一次的情况，可以分析这是什么行为

试卷相关题目

• 1内容异常流量的收集，异常现象时间的原因，不正确的是

  A.用于分析出现异常流量前被攻击的情况

  B.用于溯源分析确认入侵的时间点

  C.用于检查安全设备上的日志时使用

  D.用于确认网络变更时间

  开始考试点击查看答案
• 2对于异常流量SIP的检测较AF好的原因是

  A.SIP对外网攻击的检测比AF好

  B.AF可以做拦截

  C.SIP的探针可以部署在内网多个位置，进行东西向和南北向的检测

  D.AF需要串接在客户网络中

  开始考试点击查看答案
• 3某客户采购了我司态势感知，某日内网主机出现蓝屏现象，安全感知中也发现部分主机对内网其他主机进行smb扫描，作为一线技服人员，针对这种现象不正确的处理方式是

  A.使用科来网络分析工具抓包，抓取失陷主机外发smb扫描的进程，上传到病毒文件分析平台进行查杀，看是否是病毒

  B.查看安全感知平台，找到失陷主机，使用EDR僵尸网络查杀工具对失陷主机进行检查

  C.利用Tcpviews processhacker等流量分析工具定位发包进程

  D.联系深信服安全服务团队应急响应接口人处理

  开始考试点击查看答案
• 4客户在SIP在查看到终端中了Virut,处理的第一步是

  A.重装系统

  B.使用EDR在感染病毒的电脑上进行全盘扫描查杀

  C.使用专杀工具进行查杀

  D.分析终端上的HTML文档

  开始考试点击查看答案
• 5以下描述的是哪种病毒：1、该病毒使用445、139进行传播。2、在开机启动服务项使用随机名单。3、无法访问安全网站

  A.飞客蠕虫

  B.Nitolifi尸网络

  C.Gamarue僵尸网络

  D.Virut僵尸网络

  开始考试点击查看答案
• 6在Sip上检测到内网主机向互联网发起的http扫描行为，对客户而言很有可能的原因是

  A.黑客在对客户网站进行踩点

  B.客户内网存在肉鸡

  C.客户网络已经被攻下

  D.网站业务不规范

  开始考试点击查看答案
• 7客户在SIP上检测到很多暴力破解的行为，但无法确认是否存在，下一步最好的排查方法是

  A.查看SIP上的安全事件

  B.抓源端口为445的包

  C.到主机上查看安全日志，查看登录失败日志

  D.到主机上查看系统日志，查看登录失败日志

  开始考试点击查看答案
• 8我司可以对客户的外部威胁提供哪些检测能力或服务能力。1、威胁情报。2、黑市监控。3、安全专家。4、人工智能分析。5、云响应中心

  A.1、 2、 3、4、5

  B.1、 2、 3、4

  C.1、 2、 3、5

  D.1、 2、 3

  开始考试点击查看答案
• 9SIP可以检测到业务在公网上的开放端口，很可能被通报的端口有

  A.443、 80

  B.8080

  C.3306

  D.110

  开始考试点击查看答案
• 10客户被检测出发现了Oday,这时我们不应该怎么处理

  A.推荐使用SIP的被动漏洞识别，查看最新的漏洞

  B.SIP需要保持连接互联网及时更新特征库

  C.推荐使用入云眼/云镜设备主动发现漏洞

  D.按深信服发布的对应Oday处置办法进行处置

  开始考试点击查看答案