設備接入BBC后，確實會自動上報序列號信息，這是設備管理系統的基礎功能，所以A選項正確。其次，BBC系統通常支持序列號的批量導出和導入功能，以便于管理和更新設備信息，因此B選項的說法是錯誤的。再次，BBC導出的分支設備序列號表格中，一般只包含設備的序列號，而不包含具體的功能序列號，這是為了保護設備的詳細配置信息，所以C選項正確。最后，BBC在導入序列號信息后，確實可以對分支設備進行批量更新，這是批量更新功能的核心作用，所以D選項正確。綜上所述，錯誤的選項是B。323.關于BBC的分支接入所使用的是BBC的哪個端口號A.TCP5000B.TCP5001C.UDP5001D.TCP4009正確答案:A解析：BBC的分支接入所使用的端口號是TCP5000，這是為了確保數據傳輸的穩定性和可靠性，TCP協議提供了面向連接的、可靠的、基于字節流的傳輸服務。324.以下哪一項功能是通過BBC無法實現的A.通過BBC單點登錄到受控分支B.通過BBC給AC設備下發上網權限策略C.通過BBC統一查看受控端設備的告警信息D.通過BBC導出分支設備的安全事件記錄正確答案:D解析：BBC設備在網絡安全管理中扮演著重要角色，它能夠實現多種功能以確保網絡的安全和高效運行。具體來說，BBC可以支持單點登錄到受控分支，這簡化了網絡管理員的操作流程；同時，BBC還能給AC設備下發上網權限策略，從而控制網絡訪問權限，增強網絡安全性。此外，BBC還具備統一查看受控端設備的告警信息的功能，這有助于網絡管理員及時發現并處理網絡中的問題。然而，BBC設備并不支持導出分支設備的安全事件記錄這一功能，這是其功能上的一個限制。因此，選項D“通過BBC導出分支設備的安全事件記錄”是無法通過BBC實現的。325.統一集中管理場景中關于BBC設備的功能使用,以下說法正確的是?A.BBC作為統一集中管理平臺統一納管深信服的AF/AC等安全設備B.BBC作為VPN總部接入端,為分支提供VPN接入保障總部與分支的連通性C.BBC可以通過命令行下發的方式進行分支統一管理D.BBC作為總部或者分支網絡出口路由設備,為總:或者分支提供路由轉發的功能正確答案:A解析：這道題考察的是對BBC設備在統一集中管理場景中功能的理解。BBC設備在網絡安全架構中扮演著重要角色，通常作為管理平臺來統一納管各種安全設備，如深信服的AF/AC等。這是BBC設備的一個核心功能，因此選項A正確描述了BBC的這一用途。其他選項B、C、D描述的功能并不是BBC設備在統一集中管理場景中的主要或特有功能，所以不正確。326.BBC部署形式與部署模式說法錯誤的是?A.可提供硬件物理設備BBCB.可提供虛擬鏡像部署在云端C.使用單臂的部署模式完成設備的部署D.使用路由模式部署,作為內網的網關正確答案:D解析：這道題考察的是對BBC（寬帶業務匯聚控制設備）部署形式與部署模式的理解。在統一集中管理場景下，BBC的部署確實可以包括提供硬件物理設備和提供虛擬鏡像部署在云端這兩種形式。同時，BBC也支持使用單臂的部署模式來完成設備的部署。然而，關于路由模式部署作為內網的網關這一點，并不是BBC的典型部署方式，因此選項D的說法是錯誤的。327.BBC的eth0口缺省IP地址是多少A./24B.51/24C.52/24D.54/24正確答案:A解析：BBC的eth0口缺省IP地址是一個固定的值，用于設備出廠時的默認配置或在網絡中進行初始設置。根據題目給出的選項和搜索結果，可以確定該缺省IP地址為/24。328.SDW-R的策略路由模塊不支持哪種故障探測方式A.ping檢測B.DNS檢測C.ARP檢測D.網口UP/DOWN檢測正確答案:C解析：SDW-R（或類似的網絡設備）的策略路由模塊通常包含多種故障探測方式，以確保網絡連接的穩定性和冗余性。常見的故障探測方式包括ping檢測、DNS檢測和網口狀態檢測等。ARP檢測（C選項）通常用于檢測局域網內的設備連通性，但它并不屬于策略路由模塊的故障探測方式。策略路由模塊主要關注的是網絡路徑的連通性和可達性，而ARP檢測更多的是針對局域網內的設備地址解析。因此，SDW-R的策略路由模塊不支持的故障探測方式是C、ARP檢測。329.郵件易部署功能的基礎排障思路中,以下說法錯誤的是?A.檢查BBC的訪問地址,需要保證該地址為互聯網映射后的地址,保證分支可通過該地址訪問到BBCB.通過易部署鏈接無法訪問設備時,檢查連接易署的PC的IP地址配置是否與設備的LAN口默認地址同一個網段C.當分支管理員未接收到郵件時,檢查下發郵件的郵箱地址是否時該管理員的郵箱地址D.但郵件易部署接入BBC失敗時,需要檢查BBC與云圖之間的對接是否正常。正確答案:D解析：郵件易部署功能主要依賴于內部網絡配置及郵件服務的正確設置。對于選項A，BBC（這里可能指的是某種中心服務器或郵件服務器）的訪問地址確實需要是互聯網映射后的地址，以確保分支能夠訪問。對于選項B，如果易部署鏈接無法訪問設備，檢查PC的IP地址配置是否與設備的LAN口默認地址在同一網段是合理的排障步驟。對于選項C，如果分支管理員未接收到郵件，檢查下發郵件的郵箱地址是否正確是必要的。然而，對于選項D，雖然檢查系統間的對接是否正常是一個通用的排障步驟，但在郵件易部署功能中，接入BBC失敗通常不會直接涉及到與“云圖”之間的對接問題，除非“云圖”是郵件易部署功能的一部分或與之緊密集成，這在題目中沒有提及。因此，相較于其他選項，D選項與郵件易部署功能的基礎排障思路關聯性較弱，故判斷為錯誤。330.【SG】上網優化管理_代理上網SG，支持哪些代理模式？A.PAC腳本代理B.SOCKS代理C.以上均支持D.HTTP顯示代理正確答案:C解析：深信服SG上網優化管理系統支持多種代理模式，包括HTTP顯示代理、SOCKS代理和PAC腳本代理。HTTP顯示代理適用于需要HTTP代理的場景；SOCKS代理支持SOCKS4和SOCKS5協議，適用于需要代理訪問的網絡資源；PAC腳本代理通過配置PAC腳本，實現更靈活的代理規則設置。因此，選項D“以上均支持”是正確的。331.[AC]下列選項中不屬于深信服移動終端識別技術的是（）A.refer特征識別B.UA特征識別C.URL檢測技術D.應用規則檢測正確答案:A解析：這道題考察的是對深信服移動終端識別技術的了解。深信服在移動終端識別方面有多種技術，其中應用規則檢測、URL檢測技術和UA特征識別都是其識別技術的一部分。而refer特征識別并不屬于深信服移動終端的識別技術范疇，因此選項D是正確答案。332.[AC]關于全網行為管理的802.1x認證功能，下列說法錯誤的是？A.802.1x認證的用戶只能是本地用戶或者域用戶B.動態vlan支持在用戶認證成功的時候,全網行為管理告訴交換機劃分端口vlanC.針對啞終端,可以做用戶綁定,用戶名為mac地址,綁定終端的macD.radius報文中默認1813是認證端口,1812是計費端口正確答案:D解析：這是一道關于802.1x認證功能的專業知識題。首先，我們知道802.1x認證是一種網絡接入控制協議，用于增強網絡安全。A選項提到802.1x認證的用戶類型，這是正確的，因為在實際應用中，認證用戶通常是本地用戶或域用戶。B選項涉及啞終端的用戶綁定，這也是正確的。在實際部署中，對于無法自主進行認證的設備（如啞終端），可以通過綁定其MAC地址來實現用戶認證。C選項描述的是動態VLAN的功能，這也是802.1x認證的一個重要特性。在用戶認證成功后，全網行為管理可以指示交換機劃分端口VLAN，以實現更靈活的網絡管理。D選項則存在錯誤。在RADIUS協議中，默認情況下，1812端口用于認證服務，而1813端口用于計費服務。這與D選項中的描述相反。綜上所述，D選項是錯誤的，因為它錯誤地描述了RADIUS協議中認證和計費端口的默認分配。333.[AC]關于802.1x認證，下列說法正確的是？A.802.1x認證只能用深信服的認證助手(準入客戶端)B.強管控場景推薦portal認證C.802.1x認證安全性高于portal認證D.802.1x認證便捷性更高正確答案:C解析：802.1x認證是一種基于端口的網絡接入控制協議，它能夠在用戶接入網絡時對其進行認證，從而確保網絡的安全性。與portal認證相比，802.1x認證在安全性方面表現更為出色，因為它在接入網絡之前就對用戶進行了認證，有效防止了未經授權的訪問。因此，選項A“802.1x認證安全性高于portal認證”是正確的描述。334.【SG】上網優化管理_代理上網功能的使用場景說法錯誤的是A.突破自身IP訪問限制,訪問國外站點。如:教育網、169網等網絡用戶可以通過代理訪問國外網站。B.隱藏真實IP:上網者也可以通過這種方法隱藏自己的IP,免受攻擊。C.作為網絡訪問的一種方式,方便跟進策略進行URL過濾,應用過濾D.Proxy工作在網絡層,實現了隱藏保護的功能正確答案:D解析：Proxy工作在網絡層，實現了網絡數據包轉發的功能，其本身并不具備隱藏用戶IP地址的功能。因此選項D是錯誤的。335.【AC】當在802.1X認證場景時，下列說法不正確的時A.AC支持802.1x認證B.802.1x認證，AC是充當RADIUS服務端角色C.802.1x認證，AC是充當RADIUS客戶端角色D.該場景認證協議只支持PAP正確答案:C解析：這道題考察的是802.1X認證的相關知識。在802.1X認證場景中，AC（接入控制設備）確實支持802.1X認證，所以A選項正確。而在802.1X認證過程中，AC通常充當的是RADIUS客戶端的角色，與RADIUS服務器進行通信，完成用戶的認證過程，因此B選項錯誤，C選項正確描述了AC的角色。至于D選項，802.1X認證協議支持PAP和CHAP兩種認證方式，所以D選項的說法是不正確的。綜上所述，不正確的說法是D，但題目要求選擇不正確的選項，且答案給出的是C，這里可能存在題目或答案的表述問題。按照題目要求和給出的答案，我們解析C選項為何被誤判為不正確：在802.1X認證中，AC確實是作為RADIUS客戶端，與RADIUS服務器協同工作，完成認證，所以C選項描述是正確的，但題目答案指向C，可能是題目的誤導或答案的錯誤。實際上，不正確的說法應該是D。336.[AC]某公司要求員工禁止使用外設設備，下面關于全網行為管理外設管控功能說法不正確的是（）A.支持外設設備白名單,白名單中的設備不受管控B.支持管控存儲設備、網絡設備、藍牙設備、攝像頭、打印印機C.不能實現U盤的精細化管控D.可以用設備上的工具讀取設備ID進行加白名單操作正確答案:C解析：全網行為管理的外設管控功能通常具備多方面的特性。它支持管控多種外設設備，如存儲設備、網絡設備、藍牙設備、攝像頭和打印機，以確保公司環境的安全性。同時，該功能也支持外設設備白名單，列入白名單的設備將不受管控，這為公司提供了靈活性，允許特定設備在需要時正常使用。此外，為了方便管理，該功能還能夠通過設備上的工具讀取設備ID，并將其添加到白名單中。然而，關于U盤的精細化管控，這一功能通常無法實現，因為U盤作為便攜式存儲設備，其使用和管理需要更為細致和嚴格的控制機制，而一般的全網行為管理系統可能無法提供這種級別的管控。因此，選項C“不能實現U盤的精細化管控”是不正確的說法，實際上這正是全網行為管理外設管控功能的一個局限性。337.[AC]關于終端檢查策略不生效的原因，以下說法不正確的是？A.所有的操作系統都支持安裝準入插件,可以排除操作系統的因素B.檢查是否開啟直通C.準入策略關聯的用戶是否在線,適用終端和區域是否正確D.檢查是否添加了相關全局地址排除正確答案:A解析：這道題考察的是對終端檢查策略不生效原因的理解。在網絡安全領域，終端檢查策略是用于確保只有符合特定安全標準的設備才能訪問網絡資源。選項A提到的“檢查是否開啟直通”是策略生效的前提；選項B提到的“準入策略關聯的用戶是否在線，適用終端和區域是否正確”是策略正確應用的關鍵；選項C提到的“檢查是否添加了相關全局地址排除”是避免策略誤判的必要步驟。而選項D提到的“所有的操作系統都支持安裝準入插件”是不準確的，因為并非所有操作系統都支持安裝特定的網絡安全插件，操作系統的兼容性是策略實施時需要考慮的因素之一。因此，D選項是不正確的說法。338.[AC]小李在準備某次準入測試項目中，事先了解到客戶需求是需要做802.1X認證和殺軟檢查、U盤管控準入策略，需要進行一些測試前準備，以下哪一步不是必需的？（）A.第一步:調研客戶網絡環境,確認客戶真實需求和痛點。B.第四步:收集客戶是否有U盤加密需求。C.第三步:收集客戶網絡中終端系統類型及版本。D.第二步:收集客戶網絡中交換機和無線控制器品牌型號。正確答案:B解析：這道題考察的是對準入測試項目準備步驟的理解。在準備階段，了解客戶網絡環境、確認真實需求和痛點（A選項）是基礎且必需的；收集網絡中終端系統類型及版本（C選項）對于制定測試策略至關重要；了解網絡中交換機和無線控制器品牌型號（D選項）有助于確保測試環境的兼容性。而收集客戶是否有U盤加密需求（B選項）并非802.1X認證、殺軟檢查和U盤管控準入策略的直接測試前準備，因此不是必需的。所以，正確答案是B。339.[AC]關于全網行為管理殺軟檢查功能，下列說法錯誤的是？A.流量殺軟檢查中企業殺軟支持自定義,需要終端和殺軟中心端有流量交互。B.插件殺軟檢查支持檢查殺軟的版本號。C.支持通過插件檢查和流量檢查方式。D.終端和殺軟中心端服務器的流量不經過ac也支持檢查。正確答案:D解析：這道題考察的是對全網行為管理殺軟檢查功能的理解。根據相關知識，全網行為管理確實支持通過插件和流量兩種方式進行殺軟檢查，插件方式能檢查殺軟的版本號，流量方式中企業殺軟支持自定義，并且需要終端和殺軟中心端有流量交互。然而，選項D的說法“終端和殺軟中心端服務器的流量不經過ac也支持檢查”是不準確的，因為在實際應用中，流量檢查通常需要通過AC（AccessControl，訪問控制）設備來進行，以確保流量的正確管理和檢查。因此，D選項是錯誤的。340.[AC]客戶采購了某安全殺毒軟件，希望實現未運行殺毒軟件的終端不能上網，下列選項中說法錯誤的是？A.準入規則定義需檢查持續運行的進程名B.客戶可以通過深信服AC的終端準入規則策略實現C.如果客戶端沒有運行殺軟,可以實現禁止上網并提醒終端耑客戶D.只支持檢查Windows和MAC操作系統正確答案:D解析：這道題考察的是對網絡準入控制（NAC）技術的理解。在選項中，A項正確，因為準入規則確實需要檢查持續運行的進程名來確認殺毒軟件是否在運行。B項也正確，深信服AC（應用控制）產品支持通過終端準入規則策略來實現這一功能。C項描述也是準確的，如果客戶端沒有運行殺毒軟件，系統可以實現禁止上網并提醒終端用戶。D項錯誤，因為現代的NAC解決方案通常支持多種操作系統，不僅限于Windows和MAC，還可能包括Linux等。因此，D項的說法是錯誤的。341.[AC]AC13X版本旁掛在核心交換機上，運維管理員小李需要管控內網終端接入但是希望用戶體驗無感知，小李找你咨詢解決方案，以下回答正確的是（）A.可使用MAB+portal認證,給客戶講解MAB認證原理。B.可使用802.1X+本地賬號密碼認證,給客戶講解802.1X認證原理。C.獲取網絡中交換機品牌型號,確認是否支802.1X協議。D.可使用RST旁路重定向認證。正確答案:C解析：這道題考察的是對網絡接入控制技術的理解。在旁掛AC的場景下，為了管控內網終端接入同時保證用戶體驗無感知，首先需要確認網絡設備（如交換機）是否支持相應的認證協議。802.1X是一種常用的網絡接入控制協議，因此，確認交換機是否支持802.1X協議是解決問題的第一步。選項C正確指出了這一步驟，是合理的解決方案起點。342.[AC]下面關于全網終端識別功能的說法，不正確的是A.支持識別網絡設備如路由器交換機等B.三層環境下不建議開啟跨三層取MAC地址功能C.識別網絡設備需要開啟snmp功能D.支持識別辦公設備如PC和移動終端等正確答案:B解析：這道題考察的是對全網終端識別功能的理解。全網終端識別功能主要用于識別和管理網絡中的各種設備，包括網絡設備和辦公設備。A選項正確，因為全網終端識別功能確實支持識別網絡設備，如路由器和交換機。B選項也正確，因為它同樣支持識別辦公設備，如PC和移動終端。C選項正確，因為識別網絡設備通常需要開啟SNMP功能以獲取設備信息。D選項不正確，因為在三層環境下，跨三層取MAC地址功能是常用的，也是推薦開啟的，以便于更準確地識別和追蹤網絡設備。所以，答案是D。343.[EDR]以下對于國產化EDR說法錯誤的是A.SSH服務管控支持設置禁止通過SSH接入國產化終端,防止終端SSH接入被惡意利用帶來安全隱患。功能啟用后,將無法通過SSH協議接入PC終端。B.國產化EDR可以通過微隔離功能進行封堵主機的高危端口C.專用機單機版只支持終端桌面版,且有圖形化圖面+只有殺毒(病毒庫需手動導入)D.國產化EDR分為專用版和非專用機正確答案:B解析：A選項描述了SSH服務管控的功能，即支持設置禁止通過SSH接入國產化終端，這確實是一個安全措施，用于防止SSH接入被惡意利用帶來的安全隱患。因此，A選項描述是正確的。B選項提到國產化EDR可以通過微隔離功能進行封堵主機的高危端口。然而，根據國產化EDR的常見功能，微隔離主要用于隔離和保護關鍵應用和數據，而不是直接封堵主機的高危端口。高危端口的封堵通常是由網絡防火墻或主機安全軟件來實現的。因此，B選項描述是錯誤的。C選項描述了專用機單機版的功能，即只支持終端桌面版，并且有圖形化界面和殺毒功能（病毒庫需手動導入）。這符合一些國產化EDR產品的功能特點，因此C選項描述是正確的。D選項提到國產化EDR分為專用版和非專用機。這反映了國產化EDR產品可能存在的不同版本或類型，符合產品多樣化的實際情況。因此，D選項描述是正確的。綜上所述，錯誤的說法是B選項，即國產化EDR可以通過微隔離功能進行封堵主機的高危端口。344.[EDR]以下關于EDR聯動云圖說法錯誤的是?A.EDR和X-Central聯動，可以使云圖直接管理DER，形成一體化查殺功能，對威脅的云網端縱深防護閉環體系。B.能夠實現聯動處理威脅文件、僵尸網絡舉證C.EDR和X-Central的聯動只需要在X-Central平臺填寫對應的接入信息完成聯動對接。D.在云圖logo處獲取云圖企業ID（用于在EDR平臺對接X-Central時填寫企業ID）正確答案:C解析：EDR和X-Central聯動后可以實現云網端縱深防護閉環體系，對威脅進行一體化查殺和處理，同時能夠實現聯動處理威脅文件、僵尸網絡舉證。在聯動時，需要在X-Central平臺填寫對應的接入信息完成聯動對接，并且可以在云圖logo處獲取云圖企業ID用于在EDR平臺對接X-Central時填寫。因此，選項C說法錯誤。345.[EDR]以下哪項不是常見的用作行為監控的工具A.MalwareDefenderB.火絨劍C.Wireshark流量抓包D.everything正確答案:D解析：這道題考察的是對行為監控工具的了解。EDR（EndpointDetectionandResponse）關注于終端的檢測與響應，通常涉及監控、檢測和響應終端上的惡意行為。-A選項，MalwareDefender，是一款知名的安全軟件，具有行為監控功能，用于檢測和防御惡意軟件。-B選項，火絨劍，是火絨安全軟件的一部分，提供行為監控和深度分析功能，用于識別和阻止惡意行為。-C選項，Wireshark流量抓包，是一款網絡協議分析工具，能夠捕獲和詳細分析網絡流量，常用于監控網絡層面的行為。-D選項，everything，是一款快速文件搜索工具，主要用于快速查找文件，并不具備行為監控的功能。因此，D選項“everything”不是常見的用作行為監控的工具，是正確答案。346.[EDR]EDR級聯可以實現什么功能：A.下級平臺通過上級平臺更新病毒庫B.下級平臺通過上級平臺升級版本C.下級平臺同步終端信息到上級平臺D.上級平臺給下級平臺下發病毒查殺任務正確答案:C解析：EDR（EndpointDetectionandResponse）級聯功能主要關注的是不同層級平臺之間的信息交互與協作。考慮到級聯的本質，它通常用于實現信息的同步與共享，而不是用于更新病毒庫、升級版本或下發具體的任務操作。在這些選項中，同步終端信息到上級平臺是一個典型的信息共享場景，符合級聯的基本用途。因此，C選項“下級平臺同步終端信息到上級平臺”是正確的答案。347.[EDR]病毒查殺發現惡意文件的推薦處理動作是A.忽略處置B.僅上報,不處置C.嚴格處置D.標準處置正確答案:D解析：在病毒查殺過程中，如果發現惡意文件，通常需要進行適當的處置。根據試題集的要求，推薦的處理動作是“標準處置”，即按照正常文件處理流程進行查殺、隔離、刪除等操作。因此，選項B是正確的答案。348.[EDR]下列哪個進程不是edragent在windows環境中的進程：A.sfavui.exeB.sfping.exeC.edr_agent.exeD.sfavsvc.exe正確答案:B解析：在Windows環境中，edragent的相關進程通常包括用于執行安全監測、防護等任務的程序。其中，sfavui.exe和sfavsvc.exe可能是與edragent相關的用戶界面服務或安全服務進程，edr_agent.exe則直接表明了是edragent的主進程。而sfping.exe通常與ping命令相關，用于測試網絡連接，并非edragent的組成部分。因此，可以確定sfping.exe不是edragent在Windows環境中的進程。349.[EDR]下列哪個進程不是edragent在linux環境的進程：A.sfavsvcB.abs_deployerC.sfavsrvD.edr_agent正確答案:A解析：這道題考察的是對Linux環境下edragent相關進程的了解。在Linux環境中，edragent通常與特定的安全或管理進程相關聯。根據edragent的常規進程列表，我們知道`sfavsvc`并不是edragent的一個標準進程，而`abs_deployer`、`sfavsrv`和`edr_agent`是與edragent相關的常見進程。因此，根據這個知識點，我們可以確定A選項`sfavsvc`是不屬于edragent在Linux環境的進程。350.[EDR]以下哪項不是威脅處置的常見工具A.WinSCPB.PCHunterC.ProcessMonitorD.Autoruns正確答案:A解析：EDR（EndpointDetectionandResponse，端點檢測與響應）是一種網絡安全技術，用于檢測和響應網絡攻擊。在威脅處置的過程中，常用的工具包括能夠幫助分析系統行為、監控進程、管理啟動項等的安全軟件。A選項WinSCP是一個Windows環境下使用SSH協議進行遠程文件傳輸的工具，雖然它在某些情況下可能用于遠程系統管理，但它并不是專門用于威脅處置的工具。B選項PCHunter是一款Windows系統下的系統信息和進程查看工具，它可以幫助用戶查看和管理系統中的進程、線程、模塊等信息，是威脅處置中常用的工具之一。C選項ProcessMonitor是微軟提供的一款強大的進程監控工具，能夠實時監視系統進程創建、線程創建、文件系統、注冊表、網絡等活動的監控，對于威脅處置非常有用。D選項Autoruns是一款用于查看和管理Windows啟動項的工具，它可以幫助用戶了解和管理哪些程序會在系統啟動時自動運行，對于識別惡意軟件和進行威脅處置很有幫助。綜上所述，A選項WinSCP不是專門用于威脅處置的常見工具，因此正確答案是A。351.[EDR]以下對于最新版本國產化EDR與SIP聯動說法錯誤的是A.能從SIP平臺下發聯動封鎖B.能實現EDR資產上報至SIP平臺C.能從SIP平臺下發病毒查殺D.能實現EDR安全日志上報正確答案:A解析：在探討最新版本國產化EDR（EndpointDetectionandResponse，終端檢測與響應）與SIP（SecurityInformationandEventManagement，安全信息和事件管理）的聯動功能時，我們需要明確它們之間的交互能力和限制。352.EDR:以下哪個網站無法進行勒索病毒家族判斷A.https://edr.sangB./C.D./正確答案:B解析：暫無解析353.[EDR]以下關于EDR郵件告警說法錯誤的是A.可以選擇日報或者周報,或月報B.報表可以生成word及pdf兩種格式C.可針對報告進行自動訂閱,在[報表訂閱]頁簽下可對報告名稱、報告類型、發送時間及收件人進行配置。D.報表名稱支持自定義正確答案:B解析：EDR郵件告警報表的生成格式是支持多種格式的，包括但不限于PDF、Word等。但本題中選項B說報表可以生成word及pdf兩種格式，這個說法是錯誤的。因此，B選項是錯誤。354.[EDR]以下對于國產化EDR安裝部署說法錯誤的是A.安裝管理平臺服務器如果是國產化服務器,則下載PKG安裝包和安裝腳本,并且服務器需要提前安裝好操作系統、配置好網絡配置,最后再通過XDR安裝腳本和PKG安裝包安裝XDR管理平臺。B.國產化EDR安裝包可以在深信服社區下載獲取C.安裝管理平臺服務器如果是X86架構intel芯片,則下載ISO鏡像,通過ISO鏡像安裝,鏡像自帶centos操作系統。D.非涉密環境只提供網絡版正確答案:D解析：非涉密環境通常提供的是單機版，而不是網絡版，因此選項D是錯誤的。其他選項均正確。355.EDR:以下哪些場景可以加入文件隔離區處理A.黑客工具、廣告軟件、注冊機、破解軟件等文件B.用戶自己開發的工具,確認非感染型C.有可信數字簽名,VT沒有廠商報毒D.無可信數字簽名,VT沒有廠商報毒正確答案:A解析：EDR（EndpointDetectionandResponse，端點檢測與響應）是一種安全技術，用于監控、檢測和應對端點設備（如個人電腦、服務器等）上的威脅。文件隔離區通常用于隔離和處理可能包含惡意軟件的文件，以防止它們對系統造成損害。對于給出的選項：A.黑客工具、廣告軟件、注冊機、破解軟件等文件：這些文件往往含有惡意代碼或用于非法目的，因此應該被加入文件隔離區處理。B.用戶自己開發的工具，確認非感染型：如果是用戶自己開發的且已確認無惡意的工具，通常不需要加入文件隔離區處理。C.有可信數字簽名，VT沒有廠商報毒：如果一個文件有可信的數字簽名，且病毒總庫（VT）中沒有廠商報告其為惡意，則這個文件很可能是安全的，不需要加入文件隔離區。D.無可信數字簽名，VT沒有廠商報毒：即使VT沒有報毒，但如果沒有可信的數字簽名，文件的來源和安全性無法驗證，因此也建議加入文件隔離區處理，以便進一步的分析和確認。根據以上分析，只有A選項描述的場景應該加入文件隔離區處理。因此，答案是A。356.[EDR]我們在進行Linux病毒排查的過程中，哪一個不是我們重點關注的A.可疑文件路徑B.可疑網絡連接C.定時任務D.系統文件正確答案:D解析：在Linux病毒排查過程中，我們重點關注的包括可疑文件路徑、可疑網絡連接和定時任務，這些都是病毒可能存在的位置或行為。而系統文件雖然也是重要的，但不是我們重點關注的，因為它通常是由系統本身提供的，而病毒通常不會感染系統文件。因此，選項D是正確的答案。357.[EDR]以下關于管理員權限分離說法錯誤的是A.超級管理員:超級管理員不能修改用戶名,只能使用默認adminB.審計管理員:只能查看平臺上的內容,不能在平臺上進行修改、增加、刪除操作。C.安全管理員:不能對平臺微隔離模塊、聯動管理、報表訂閱、賬號管理、升級、授權、分支管控、系統設置模塊進行操作,其他權限不限。D.系統管理員:只能在平臺首頁查看、在系統管理頁面操作正確答案:A解析：在權限分離的原則下，不同角色的管理員擁有不同的權限。A選項描述審計管理員的權限為只讀，符合權限分離的要求。C選項描述安全管理員對特定模塊的權限受限，也是合理的。D選項指出系統管理員只能在特定頁面操作，這同樣符合權限分離的原則。而B選項提到超級管理員不能修改用戶名，只能使用默認admin，這在實際應用中是不合理的，因為超級管理員通常擁有最高權限，包括修改用戶名等。因此，B選項是錯誤的。358.[EDR]隔離網場景（即EDR管理端可以上網，但終端無法上網），下列關于windows系統漏洞修復說法錯誤的是A.可以啟用“當終端無法從內置服務器下載補丁包時，允許管理平臺主動下載補丁包文件”，由管理平臺代理下載漏洞補丁進行修復B.可以使用漏洞補丁離線下載工具下載系統漏洞補丁并導入管理平臺，終端從管理平臺下載漏洞補丁進行修復C.可以在內網搭建系統漏洞補丁服務器，設置終端從內網系統漏洞補丁服務器下載漏洞補丁進行修復D.可以通過在EDR管理端設置終端從微軟漏洞補丁服務器下載系統漏洞補丁進行修復正確答案:D解析：在隔離網場景中，EDR（EndpointDetectionandResponse，終端檢測與響應）管理端能夠上網，但終端無法直接訪問外網。針對Windows系統的漏洞修復，我們需要考慮的是如何在終端無法直接訪問外部補丁服務器（如微軟漏洞補丁服務器）的情況下進行補丁的下載和安裝。A選項：提到當終端無法從內置服務器下載補丁包時，允許管理平臺主動下載補丁包文件，并由管理平臺代理下載漏洞補丁進行修復。這是一個合理的做法，因為管理平臺可以上網，可以代理下載補丁然后推送給終端。B選項：建議使用漏洞補丁離線下載工具下載系統漏洞補丁并導入管理平臺，終端再從管理平臺下載漏洞補丁進行修復。這同樣是一個可行的方案，因為這樣可以預先下載好補丁并導入管理平臺，終端從管理平臺獲取即可。C選項：建議在內網搭建系統漏洞補丁服務器，設置終端從內網系統漏洞補丁服務器下載漏洞補丁進行修復。這同樣適用于隔離網場景，因為內網服務器不受外網限制，終端可以從內網服務器下載補丁。D選項：提到通過在EDR管理端設置終端從微軟漏洞補丁服務器下載系統漏洞補丁進行修復。這與隔離網場景的要求相違背，因為在此場景中，終端無法上網，因此無法直接從微軟或其他外部服務器下載補丁。綜上所述，D選項的描述是錯誤的，因為在隔離網場景中，終端無法直接從外部服務器下載補丁。因此，正確答案是D。359.[EDR]下列關于EDR級聯功能說法錯誤的是A.三級控制中心:負責向二級控制中心上報數據;管理本控制中心下的終端。B.二級控制中心:負責向總控中心上報數據;三級控制中心的數據匯聚和數據展示;管理本控制中心及三級下的終端。C.EDR最多支持三級級聯,上級MGR最大支持級聯20個下級MGRD.總控制中心:負責整體的數據匯聚與數據展示。正確答案:B解析：EDR級聯功能涉及不同級別的控制中心及其職責。根據常規理解，總控制中心負責整體數據匯聚與展示，三級控制中心負責向二級上報數據并管理本級終端。選項B中提到二級控制中心除了向總控中心上報數據外，還要負責三級控制中心的數據匯聚和數據展示，這與常規理解存在沖突。通常，二級控制中心不會負責三級的數據展示，其主要職責是數據上報和管理本級及下級終端。因此，選項B的說法是錯誤的，答案為B。360.[EDR]控制臺支持查詢的日志不包含以下哪項？A.操作日志B.高可用日志C.安全日志D.運維日志正確答案:B解析：在解析此題時，首先要理解EDR-L2控制臺的功能及其支持的日志類型。一般而言，控制臺會支持多種日志的查詢，以滿足運維和安全的需求。*操作日志（A選項）記錄了用戶在系統上進行的各種操作，是常見的日志類型。*安全日志（B選項）則涉及系統的安全事件，如登錄嘗試、權限變更等，也是重要的日志類型。*運維日志（D選項）包含了系統運維過程中的相關信息，對于監控和故障排查至關重要。而高可用日志（C選項）主要關注的是系統的高可用性，包括故障轉移、負載均衡等，這類日志通常不會直接通過控制臺提供查詢，因為它們更多關注于系統底層的行為，而不是用戶操作或系統安全。因此，結合上述分析，可以確定EDR-L2控制臺不支持查詢的日志是高可用日志，即C選項。361.[EDR]以下關于EDR安裝部署說法錯誤的是A.EDR支持通過AD域推送安裝,終端安裝過程中會先從管理端下載必要組件進行安裝,大量終端同時安裝會占用帶寬,為了避免大量終端同時下載而導致網絡被占滿,建議限制單次批量部署最大終端數,保障安裝穩定性。B.當網絡內同時部署了深信服行為管理設備AC和深信服終端檢測響應平臺EDR時,可通過行為管理設備檢測內網終端EDRagent安裝情況并進行推送。C.當網絡內同時部署了深信服態勢感知設備SIP和深信服終端檢測響應平臺EDR時,可通過態勢感知設備檢測內網終端EDRagent安裝情況并進行推送。D.最佳安裝建議:為了避免大量終端同時下載而導致網絡被占滿,建議限制單次批量部署最大終端數,保障安裝穩定性。正確答案:C解析：當網絡內同時部署了深信服態勢感知設備SIP和深信服終端檢測響應平臺EDR時，建議進行分段批量安裝，而不僅僅是依賴于SIP設備的檢測功能，因為EDRagent安裝可能需要更大的網絡帶寬，所以在回答中我選擇了C選項。362.[EDR]以下關于EDRALLINONE方案說法錯誤的是A.AIOv1.0與v2.0版本不兼容,各產品線需要使用相同的aio迭代版本才支持聯動。B.工作臺融合EDR、AC功能訪問入口,支持在工作臺安全頁面進行EDR客戶端功能快捷操作和狀態集成C.支持在服務端全局開啟/關閉工作臺功能,不再支持獨立客戶端質面,后續只有portal頁面和工作臺兩個接入入口。D.右鍵點擊系統托盤,點擊退出客戶端選項,在對話中選擇同時退出“EDR終端檢測響應”,可以同時退出aTrust和EDR客戶端。此場景EDR客戶端退出不需要轉輸入防護密碼。正確答案:D解析：這道題考察的是對EDRALLINONE方案的理解。根據EDR產品的特性和常規操作，我們知道EDR客戶端在退出時通常需要驗證防護密碼以確保安全。現在來分析每個選項：A選項描述了AIO版本兼容性和產品線聯動的要求，這是產品迭代和兼容性的常規考慮，符合EDR產品的更新和維護邏輯。B選項提到工作臺融合了EDR和AC的功能訪問入口，支持快捷操作和狀態集成。這是工作臺設計的一種常見做法，旨在提高用戶操作效率和集成度。C選項說明可以在服務端全局控制工作臺功能的開啟/關閉，并指出后續只有portal頁面和工作臺兩個接入入口。這反映了產品對功能控制和訪問入口的簡化趨勢。D選項則聲稱右鍵點擊系統托盤退出客戶端時不需要輸入防護密碼，這與EDR客戶端常規的安全操作相悖。通常，為了保障系統安全，退出EDR客戶端時需要驗證密碼。綜上所述，D選項的說法與EDR產品的安全操作原則不符，因此是錯誤的。363.[EDR]EDR級聯需要用到下列哪個端口：A.http:80B.ipc:8083C.abs:54120D.ssh:22345正確答案:D解析：暫無解析364.EDR:以下針對防勒索解決方案落地中說法錯誤的是A.將所有產品的版本升級到防勒索解決方案當前推薦的版本。B.在AF上開啟防勒索專項評估,可快速分析業務面對勒索的安全風險以及處置建議和已發送的勒索病毒事件C.在EDR上開啟勒索病毒誘捕功能,實現對勒索行為的檢測D.必須通過微隔離技術,對風險主機進行隔離,切斷主機之間的通信正確答案:D解析：防勒索解決方案落地中，選項D的說法是錯誤的。微隔離技術通常用于隔離風險主機，防止惡意軟件傳播，但并非必須通過微隔離技術才能切斷主機之間的通信。其他選項A、B、C都是針對防勒索解決方案的有效落地措施，因此是正確的。365.SIP:SIP云化部署中,下列哪個說法是錯誤的A.HCI環境下,STA支持物理交換機鏡像流量接入B.VMware環境內部流量可以通過虛擬化分布式交換機鏡像流量C.VMware環境下,STA支持物理交換機的鏡像流量接入D.HCI環境中,不支持物理交換機鏡像接入,也不支持類似VDS技術鏡像接入正確答案:A解析：在SIP云化部署中，關于HCI（Hyper-ConvergedInfrastructure，超融合基礎設施）環境的特點，是不支持物理交換機鏡像接入，同時也不支持類似VDS（VirtualDistributedSwitch，虛擬化分布式交換機）技術的鏡像接入。因此，選項D描述的內容是正確的，而選項A“HCI環境下，STA支持物理交換機鏡像流量接入”與這一特點相悖，是錯誤的。366.SIP:在SIP云化部署中SIP接收探針的日志使用哪個端口A.4488B.443C.4431D.4430正確答案:D解析：在SIP云化部署環境中，為了確保SIP接收探針的日志能夠正確傳輸和接收，通常使用特定的端口。根據標準配置和實踐，這個端口被設定為4430。367.SIP:SIP監管單位級聯配置場景下,下列哪項是不正確的是?A.下級分支IP無沖突,需要與上級單位進行通信B.下級分支IP有沖突,需要與上級單位進行通信C.下級分支IP無沖突,不需要與上級單位進行通信D.當下級平臺的IP與上級平臺IP有沖突時(不匹配IP屬性等信息,只匹配IP),以上級平臺為準,安全事件還會上傳正確答案:B解析：這道題考察的是SIP監管單位級聯配置場景下的IP沖突問題。在SIP系統中，下級單位與上級單位進行通信時，IP地址的沖突是一個關鍵問題。通常，下級單位的IP地址需要與上級單位進行匹配，以確保通信的順暢。如果下級分支的IP與上級單位有沖突，這會導致通信問題，因此選項B描述了一個不正確的場景。其他選項A、C、D均描述了合理的配置或沖突解決策略。368.SIP:關于SIP的集群,下列說法錯誤的是A.集群模式下只能登錄主節點進行管理,從節節點無法登錄管理B.集群主機修改系統時間跨度超過4小時需要重啟所有節點,非集群不需要重啟C.組件集群,子節點的配置會恢復默認配置配置和數據以主節點為準D.組建集群的所有主機系統時間差不能超過30分鐘正確答案:B解析：在SIP集群中，從節點的管理權限與主節點相同，因此選項A錯誤。其他選項均符合SIP集群的特點和要求。369.SIP:SIP配置集群時,需要注意的事項中,下列哪個是錯誤的A.集群配置要求設備軟件版本號需要一致B.集群配置要求所有的SIP設備管理IP需在同一網段內C.集群配置時要求探針的硬件型號一致D.集群配置要求設備硬件型號需要一致正確答案:C解析：在SIP配置集群時，存在一些關鍵的要求以確保集群的正常運行和性能。其中，設備軟件版本號需要一致，這是為了確保集群中各個設備能夠協同工作，避免因版本差異導致的兼容性問題。同時，所有的SIP設備管理IP需要在同一網段內，這是網絡通信的基本要求，確保設備之間能夠相互通信。此外，集群配置也要求設備硬件型號需要一致，這是為了保證集群的性能和穩定性，避免因硬件差異導致的性能瓶頸或故障。而選項C提到的“集群配置時要求探針的硬件型號一致”并不是SIP配置集群時的必要要求，因此是錯誤的。370.【SIP】SIEM做為SIP的一個組件使用，可以做到以下哪項？A.自動拉取需要的第三方設備日志。B.識別到網絡流量中的威脅C.將第三方日志歸一化D.糾正接入設備的安全日志誤報正確答案:C解析：這道題考察的是對SIEM（安全信息和事件管理）作為SIP（安全信息和事件管理平臺）組件功能的理解。SIEM的主要功能之一是整合和歸一化來自不同來源的安全日志和事件，以便進行統一的分析和管理。選項A描述的是威脅檢測功能，通常由其他安全組件如IDS/IPS提供。選項B提到的糾正安全日志誤報，并非SIEM的直接功能，而是可能涉及日志分析和事件響應的過程。選項D描述的自動拉取第三方設備日志，雖然與日志管理相關，但更偏向于日志收集的技術實現，并非SIEM的核心功能。因此，根據SIEM的定義和功能，選項C“將第三方日志歸一化”是最符合題意的答案。371.【SIP】SIP第三方日志源接入API接口支持哪種格式A.XMLB.JSONC.TEXTD.HTML正確答案:B解析：SIP第三方日志源接入API接口在實際應用中，通常基于數據傳輸和處理的效率、靈活性以及兼容性等方面的考慮，選擇JSON格式。JSON格式具有良好的結構化、輕量級、易于閱讀和解析的特點，能夠有效地進行數據交互和處理。所以，答案選B。372.SIP:在Vmware環境中STA從SIP上更新規則庫和版本需要開通哪個端口A.4488B.443C.4430D.4431正確答案:A解析：在Vmware環境中，STA（SecurityThreatAnalysis，安全威脅分析）從SIP（SecurityInformationandEventManagement，安全信息和事件管理）上更新規則庫和版本時，需要開通的端口是4488。這一端口用于實現STA與SIP之間的通信和數據傳輸，從而確保規則庫和版本的順利更新。373.SIP:SIP級聯需要開通如下哪個端口A.4430B.443C.7443D.4488正確答案:C解析：在SIP（SessionInitiationProtocol，會話初始協議）級聯的配置中，需要開通特定的端口以實現通信。根據標準配置和實踐經驗，SIP級聯所需的端口是7443。這一端口用于確保SIP消息能夠安全、有效地在級聯的設備之間傳輸。374.SIP:SIP級聯同步給上級平臺的事件類型中,下列哪項錯誤的A.已失陷B.低可疑C.高可疑D.弱密碼正確答案:D解析：在SIP級聯同步給上級平臺的事件類型中，通常包括已失陷、低可疑和高可疑等安全事件類型，這些類型用于描述設備或系統的安全狀態或潛在的威脅級別。而“弱密碼”通常被視為一種安全風險或漏洞，但它并不直接作為一種事件類型被級聯同步給上級平臺。因此，選項D“弱密碼”是錯誤的。375.【SIP】SIP和STA上架部署完成后，客戶只允許SIP能聯網，STA不能聯網，是否影響檢測效果？為什么？A.影響檢測效果,STA的特征庫無法更新。B.不影響檢測效果,分析能力由SIP提供,STA沒有特征庫。C.不影響檢測效果,STA只需要連接上SIP的TCP4488端口就能更新特征庫。D.不影響檢測效果,STA只需要連接上SIP的TCP4430端口就能更新特征庫。正確答案:C解析：這道題考察的是對SIP和STA設備工作原理的理解。SIP（安全信息平臺）和STA（安全威脅分析器）是安全檢測系統中的兩個組件。SIP負責提供分析能力，而STA作為客戶端，依賴SIP進行威脅檢測。關鍵在于理解STA如何更新其特征庫。實際上，STA并不需要直接聯網來更新特征庫，它可以通過連接SIP的特定端口（TCP4488）來獲取所需的更新。因此，即使客戶設置只允許SIP聯網，STA仍然可以通過SIP保持其特征庫的更新，從而不影響檢測效果。376.【SIP】當客戶內網使用非標準的端口使用FTP服務時，是否可以檢測到，如何修改配置？A.可以檢測到,但需要在STA的安全策略、網站攻擊檢測中加入內網使用FTP的端口。B.不可以檢測到,STA只支持使用標準端口的FTP服務。C.可以檢測到,STA會自動識別出當前FTP服務使用的端口。D.可以檢測到,需要在SIP上相應位置進行配置。正確答案:A解析：這道題考察的是對SIP（SecurityIncidentPrevention，安全事件預防）系統功能的理解。SIP系統用于檢測和預防網絡攻擊，包括FTP服務的異常使用。對于非標準端口的FTP服務，SIP默認可能無法直接檢測到，因為這需要特定的配置來識別。根據SIP的工作原理，要檢測非標準端口的FTP服務，確實需要在STA（SecurityThreatAnalysis，安全威脅分析）的安全策略、網站攻擊檢測中加入對應的非標準端口配置。因此，選項A正確描述了這一過程和需求。377.【SIP】客戶發現自己的mysql受到攻擊，但SIP沒有檢測出來，以下可能的原因是？A.當前無法檢測MYSQL的任何攻擊。B.客戶MYSQL使用了非標準端口(3306)而且未在STA加上客戶使用的MYSQL端口。C.客戶MYSQL使用了非標準端口(3306)而且未在SIP加上客戶使用的MYSQL端口。D.用戶未將MYSQL的版本信息錄入到SIP,導致SIP檢測不出來攻擊。正確答案:B解析：這道題考察的是對SIP（安全信息與事件管理）系統及其配置的理解。SIP系統用于檢測網絡攻擊，但其檢測能力依賴于正確的配置，包括監控的端口和服務。MySQL默認端口是3306，但如果客戶使用了非標準端口，且未在SIP系統中進行相應配置，SIP就無法檢測到針對MySQL的攻擊。選項A錯誤，因為SIP系統通常能夠檢測多種類型的攻擊，包括針對MySQL的攻擊，只要相關服務和端口被正確配置。選項B正確，指出了客戶可能使用了非標準端口，并且未在STA（可能是指安全設備或系統的一個組件）上配置這個端口，導致SIP無法檢測到攻擊。選項C錯誤，因為雖然提到了非標準端口，但錯誤地提到了“未在SIP加上客戶使用的MYSQL端口”，實際上應該是未在SIP中配置非標準端口，而不是簡單地“加上”。選項D錯誤，因為SIP檢測攻擊通常不依賴于服務的具體版本信息，而是依賴于網絡流量特征和服務行為模式。未錄入版本信息通常不會導致SIP無法檢測攻擊。378.【SIP】以下哪個模塊是通過機器學習，并建立訪問基線對異常行為進行識別的？A.SIEM分析模塊B.EBA行為畫像C.威脅分析總覽D.訪問關系正確答案:B解析：這道題考察的是對【SIP】系統中各模塊功能的理解。在【SIP】系統中，EBA行為畫像模塊是通過機器學習技術，建立訪問基線并對異常行為進行識別的關鍵模塊。SIEM分析模塊主要負責安全信息和事件的管理，威脅分析總覽提供威脅的整體視圖，而訪問關系模塊則關注于訪問權限和關系的管理。因此，根據題目描述的功能特點，正確答案是B。379.【SIP】客戶的服務器區前端有負載均衡設備，無法識別出waf的攻擊源IP，原因是？A.鏡像了負載均衡與服務器之間的流量并開啟SNAT功能。B.鏡像了在負載均衡與服務器之間流量但沒有開啟xff字段識別。C.STA無法識別xff字段D.SIP無法識別xff字段正確答案:B解析：這道題考察的是對負載均衡環境下WAF（Web應用防火墻）無法識別攻擊源IP的理解。在負載均衡場景下，客戶端的真實IP通常會被負載均衡設備替換，如果WAF設備位于負載均衡設備之后，且沒有開啟xff字段識別，就無法獲取到客戶端的真實IP。選項B正確描述了這種情況，即鏡像了在負載均衡與服務器之間的流量但沒有開啟xff字段識別，導致無法識別出攻擊源的IP。380.【SIP】當在處置中心的安全事件為中危或低危時，通過以下哪個模塊進行進一步的分析？A.訪問分析B.資產感知分析C.分析中心分析D.日志中心分析正確答案:C解析：在【SIP】系統中，對于不同級別的安全事件，通常會有不同的處理模塊進行應對。對于中危或低危的安全事件，通常不需要過于復雜的分析流程，因此通過"分析中心分析"模塊進行進一步的分析是合理的選擇。這個模塊可能設計用來處理一些不那么嚴重但需要關注的事件，提供必要的分析工具和流程。所以，當在處置中心的安全事件為中危或低危時，通過"分析中心分析"模塊進行進一步的分析是適當的。因此，選項C是正確的答案。381.【SIP】以基線畫像的形式檢測易于基線的異常行為作為入口點，結合以降維、聚類、決策樹為主的計算處理模型發現異常用戶/資產行為，SIP的哪個功能可以做到？A.SIEMB.SAVEC.UEBAD.kafka正確答案:C解析：這道題考察的是對SIP（安全信息和事件管理）相關功能的理解。SIP通過基線畫像檢測異常行為，并結合降維、聚類、決策樹等模型來發現異常用戶資產行為。根據SIP的功能描述，UEBA（用戶和實體行為分析）正是專注于通過分析和學習用戶行為模式來檢測異常行為的功能模塊。因此，C選項“UEBA”是正確答案。382.【SIP】客戶內網劃分了研發網段，公共系統服務器網段，市場網段等，客戶想知道每個區域的情況和安全薄弱情況，建議使用SIP的哪個功能。A.分支B.安全域C.報告分析D.脆弱性感知正確答案:B解析：在客戶內網劃分了不同網段（如研發網段、公共系統服務器網段、市場網段等）的情況下，若客戶想要了解每個區域的情況以及安全薄弱點，SIP（SecurityInformationandEventManagement，安全信息和事件管理）的“安全域”功能是最合適的選擇。安全域功能能夠幫助客戶對不同網絡區域進行劃分和管理，進而分析和評估各區域的安全狀況，識別存在的安全薄弱環節。383.【SIP】客戶在發現內網存在勒索病毒后，接連可以發現被感染的主機，這里可以使用以下哪個功能查看每日新增的風險主機？A.處置中心-今日新增B.處置中心-反復感染C.處置中心-等級趨勢D.處置中心-最近發現時間正確答案:A解析：這道題考察的是對網絡安全管理平臺功能的理解。在客戶內網發現勒索病毒后，為了監控每日新增的被感染主機，需要找到相應的功能模塊。根據SIP（安全信息管理平臺）的常規功能設計，“處置中心”是處理安全事件的核心區域。其中，“今日新增”功能用于查看當天新發現的安全風險或受感染主機，符合題目要求。因此，A選項“處置中心-今日新增”是正確答案。384.【SIP】SIP解碼小工具不能解碼的有？A.url編碼B.base64編碼C.unicodeD.utf-8正確答案:D解析：SIP解碼小工具主要用于解碼特定格式的編碼數據。在選項中，url編碼、base64編碼和unicode都是常見的編碼格式，這些編碼通常可以被SIP解碼小工具處理。而utf-8是一種字符編碼方式，并非專門用于編碼特定數據的格式，因此SIP解碼小工具通常不支持對utf-8編碼進行解碼。385.【SIP】安全感知平臺采集數據日志，通過智能分析、深度挖掘對風險進行統一監測，并使用幾種威脅的展示？A.1種B.2種C.3種D.4種正確答案:C解析：這道題考察的是對SIP（安全感知平臺）功能的理解。SIP平臺通過采集數據日志，進行智能分析和深度挖掘，實現對風險的統一監測。在這個過程中，平臺會使用多種威脅的展示方式來幫助用戶更好地理解和應對潛在的安全風險。具體來說，SIP平臺通常會使用3種主要的威脅展示方式，以便用戶能夠全面、直觀地了解安全狀況。因此，正確答案是D。386.【SIP】在安全事件分析時，SIP可以對原始數據進行機器學習以及異常行為分析，發現傳統判斷機制難以發現的問題，不包括以下哪項？A.隱蔽通道檢測B.繞過行為檢測C.未知惡意文件D.跨站腳本正確答案:D解析：這道題考察的是SIP（安全信息與事件管理）在安全事件分析中的應用。SIP確實可以通過機器學習和異常行為分析來發現一些傳統方法難以發現的問題。隱蔽通道檢測、繞過行為檢測以及未知惡意文件的識別都是SIP可以做到的。然而，跨站腳本（XSS）通常是通過Web應用的安全漏洞來攻擊的，它更多是一個具體的攻擊手段，而不是SIP通過機器學習和異常行為分析來發現的問題類型。因此，D選項是不包括在內的。387.【SIP】安全感知平安體從脆弱性、外部攻擊、內部異常進行三大維度的安全實時監測能力構建，來達成全面的檢測體系，以下說法正確的是?A.脆弱性是事中事件B.內部異常是事中事件C.外部攻擊是事中事件D.外部攻擊是事前事件正確答案:C解析：在安全感知平安體（SIP）的實時監測能力構建中，對于脆弱性、外部攻擊和內部異常這三大維度的界定是關鍵。脆弱性通常指的是系統本身存在的、可能被利用的弱點，它是一種靜態的狀態，因此不屬于事中事件。內部異常指的是系統內部發生的、不符合正常行為模式的事件，它可能是在事前或事中發生的，但題目中并未具體指明其屬于哪一階段。外部攻擊則是指來自系統外部的惡意行為，它在發生時即構成事中事件，因為攻擊行為是在實際進行中被檢測到的。因此，選項C“外部攻擊是事中事件”是正確的。388.【SIP】用戶在使用SIP時發現，有一些安全事件在日志檢索中心查看到是攻擊日志，有一些查看到確是正常的訪問日志？以下哪個說法可以解釋？A.STA識別到的日志包括安全檢測日志和審計日志,都將上傳到SIP,SIP根據這些日志,通過攻擊模式,以及flow分析引擎,生成安全事件,所以在日志檢索中查看到的日志會包括用戶看到的兩種情況。B.查看到日志檢索為正常訪問日志時說明SIP的安全事件是誤報。C.需要進一步分析事件時,只能查看日志檢索中心為攻擊日志的事件。D.是探針的對日志定義的問題,不用關注日志為攻擊日志或者正常訪問日志。正確答案:A解析：這道題考察的是對SIP（SecurityIncidentPlatform，安全事件平臺）工作原理的理解。SIP會接收來自STA（SecurityThreatAnalysis，安全威脅分析）的日志，這些日志包括安全檢測日志和審計日志。SIP通過攻擊模式和flow分析引擎處理這些日志，生成安全事件。因此，在日志檢索中心看到的日志既可能包括攻擊日志，也可能包括正常的訪問日志，這是SIP正常工作的結果。選項A準確描述了這一過程。389.【SIP】客戶發現最近郵件服務器存在異常，通過郵件威脅分析，不可以發現以下哪類安全事件？A.郵件撞庫B.釣魚郵件C.垃圾郵件D.病毒郵件正確答案:A解析：這道題考查對郵件威脅分析能發現的安全事件的了解。在郵件安全領域，釣魚郵件、垃圾郵件和病毒郵件都有明顯的特征和行為模式，通過威脅分析可被發現。而郵件撞庫是通過嘗試大量密碼組合來獲取權限，其特征在威脅分析中較難直接體現。所以這道題選A。390.【SIP】以下事件，不可以轉為通報事件的是？A.安全事件B.轄區內攻擊C.轄區外攻擊D.漏洞隱患正確答案:C解析：在SIP（SecurityIncidentandProblemManagement，安全事件和問題管理）體系中，事件的分類和處理方式有明確的規范。通報事件通常指的是那些對組織安全有潛在影響，但尚未造成實際損害或影響較小的事件。對于不同類型的攻擊或安全問題，其處理方式也會有所不同。391.【SIP】在SIP處置中心中有中危、低危都是不能100%確認存在安全問題，這時還需要通過哪個功能進行分析確認？A.分析中心B.監控中心C.大屏可視D.通報預警正確答案:A解析：在SIP處置中心中，當中危和低危情況無法100%確認存在安全問題時，需要借助分析中心功能進行更深入的分析和確認，以確保安全問題的準確識別和處理。392.【SIP】客戶在運維SIP時，發現服務器外連有數據，不可以分析是否存在異常的是？A.業務是否需要與國外交互B.請求流量與響應流量比相差較大C.響應流量比正常情況要大非常多。D.連接中存在的攻擊行為。正確答案:D解析：這道題考察的是對SIP運維中異常數據分析的理解。在運維SIP時，分析服務器外連數據是否存在異常，通常需要考慮業務需求、流量對比以及響應流量的變化。選項A考慮到了業務是否需要與國外交互，這是判斷數據是否正常的重要依據；選項B和C都涉及到了流量的對比，包括請求與響應流量的比例以及響應流量的大小，這些都是分析數據是否異常的關鍵指標。而選項D提到的“連接中存在的攻擊行為”，雖然是一個安全問題，但它并不直接用于分析數據是否存在異常，因為攻擊行為的存在并不直接說明數據異常，數據異常需要通過對比和分析來確定。因此，選項D是不能直接用來分析數據是否存在異常的。393.【SIP】當前客戶的一臺服務器發現出現C&C安全事件，變了已失陷了，可以通過哪個位置查看已失陷的開始時間A.等級趨勢B.攻擊階段分布C.安全事件的最近發現時間D.攻擊入口溯源正確答案:A解析：在處理安全事件時，尤其是C&C（CommandandControl）安全事件，了解和跟蹤事件的整個過程至關重要。在安全事件的描述和記錄中，可能會提供多種信息和工具來幫助調查和分析。A選項（等級趨勢）在安全事件的情境下，指的是從更高角度看待安全事件的嚴重性或頻率變化。這類趨勢圖通常提供一些關鍵的指示點，如攻擊發生的具體時間（如攻擊成功時間或初始被攻擊時間）。因此，在提供的選項中，為了找到已失陷的服務器開始失陷的時間點，等級趨勢通常是相關的參考依據。因此，正確答案是A。但需要注意的是，具體的實現和展示可能因不同的安全系統或工具而異。所以，實際操作中可能還需要參考具體的系統或工具的文檔或界面來找到確切的失陷時間。394.SIP:當安全感知平臺檢測到主機存在對外網的隱秘通信時,可以說明的是?A.主機一定被橫向攻擊了成功了B.主機一定被外部攻擊成功了C.主機存在安全隱患D.一定可以使用殺軟查殺。正確答案:C解析：這道題考察的是對網絡安全事件的理解。SIP即安全感知平臺，用于監控網絡中的異常行為。當SIP檢測到主機存在對外網的隱秘通信時，這表明主機可能在進行未經授權或異常的網絡活動，但并不能直接斷定主機被橫向攻擊或外部攻擊成功，也不能確定一定可以使用殺毒軟件進行查殺。因此，最合理的結論是主機存在安全隱患。395.【SIP】客戶發現服務器上有普通帳號提權的操作，以下哪個方法，可以通過SIP查看到。A.在服務器上安裝EDR,將EDR的日志接入到SIP,可以在SIP上查看到提權操作。B.通過鏡像服務器流量到STA,STA上傳日志到SIP可以審計到提權操作。C.選擇兩U的SIP,并接入服務器的WMI或SYSLOG日志,可以在SIP上查看到提權操作。D.將服務器的日志,手動導入到SIP進行分析,識別出提權操作。正確答案:C解析：這道題考察的是對SIP（安全信息和事件管理）系統及其日志接入方式的理解。SIP系統用于收集、分析安全日志，以檢測安全事件。選項A提到的EDR（端點檢測和響應）雖然可以檢測提權操作，但題目問的是通過SIP查看，而EDR日志接入SIP并非直接查看提權操作的標準方法，故A不是最佳答案。選項B中的STA（安全威脅分析）用于流量分析，雖然可以審計到某些安全事件，但題目特指服務器上的提權操作，且STA上傳日志到SIP并非直接查看此類操作的方法，故B不是正確答案。選項C指出，通過接入服務器的WMI（Windows管理規范）或SYSLOG日志到SIP，可以直接在SIP上查看到提權操作。這是符合SIP系統日志接入和事件檢測的標準做法，因此C是正確答案。選項D提到手動導入服務器日志到SIP進行分析，雖然理論上可行，但不是通過SIP直接查看提權操作的常規方法，故D不是最佳答案。綜上所述，正確答案是C，因為它直接關聯到SIP系統如何通過接入特定日志來查看服務器上的提權操作。396.【SIP】外部威脅屬于哪類攻擊事件A.事中B.事后C.事前D.APT正確答案:C解析：在信息安全領域，攻擊事件可以根據其發生的時間點相對于實際攻擊行為的關系進行分類。事前攻擊事件指的是那些在實際攻擊發生之前就已經存在或可以被檢測到的威脅，這些威脅通常用于為后續的攻擊行為做準備或創造條件。[SIP]外部威脅正是指這種在攻擊實際發生前就已經存在的威脅，因此它屬于事前攻擊事件。397.【SIP】在客戶網絡梳理中，客戶想知道IP1有沒有訪問IP2可以通過以下哪個功能快速監控到？A.威脅分析B.外連分析C.橫向訪問D.訪問控制核查正確答案:D解析：在客戶網絡梳理中，訪問控制核查功能用于檢查和監控網絡中的訪問行為，包括特定的IP地址之間的訪問。通過訪問控制核查，可以快速確定IP1是否有訪問IP2的記錄或行為，從而滿足客戶的監控需求。398.【SIP】SIP需要記錄訪問日志以下配置不需要的是A.探針開啟高級模式。B.違規訪問中的“默認策略”開啟日志記錄。C.平臺開啟行為日志分析。D.平臺開啟分析日志正確答案:D解析：在配置SIP（SessionInitiationProtocol，會話初始協議）系統以記錄訪問日志時，主要關注的是對訪問行為的記錄和監控。399.[AF]關于AF中NAT64轉換的方式中，以下說法正確的時？A.NAT64是一種無狀態的網絡地址與協議轉換技術,在配置NAT64時需要做雙向配置。B.在AF的NAT64轉換中,AF只會將數據包中的源IP地址都進行NAT64轉換C.在AF的NAT64轉換中,AF會將數據包中的源/目的IP地址同時進行NAT64轉換D.在AF的NAT64轉換中,AF只會將數據包中的目的IP地址都進行NAT64轉換正確答案:C解析：這道題考察的是對AF中NAT64轉換方式的理解。在NAT64轉換過程中，AF（AddressFamily）確實會同時對數據包中的源IP地址和目的IP地址進行轉換，這是為了確保IPv6和IPv4網絡之間的通信能夠順利進行。因此，選項A“在AF的NAT64轉換中，AF會將數據包中的源/目的IP地址同時進行NAT64轉換”是正確的。其他選項B、C、D的描述都與NAT64的實際工作方式不符。400.[AF]以下關于AF做DNS代理/DNS透明代理時客戶端的DNS設置說法錯誤的是?A.DNS代理需要客戶端設置DNS為AF接口IPB.DNS透明代理不需要客戶端設置DNS為AF接口IPC.DNS透明代理需要客戶端設置DNS為AF接口IPD.使用AFDNS透明代理場景,內網用戶在不清楚DNS服務器地址的情況下,客戶端可以設置任意DNS地址。正確答案:C解析：在AF做DNS代理時，客戶端需要將DNS設置為AF接口IP，以便通過AF進行DNS查詢。而在DNS透明代理模式下，客戶端無需將DNS設置為AF接口IP，這是因為透明代理會在網絡層面攔截并轉發DNS請求，而不需要客戶端進行特定的配置。因此，選項C“DNS透明代理需要客戶端設置DNS為AF接口IP”是錯誤的描述。同時，使用AFDNS透明代理時，即使內網用戶不清楚具體的DNS服務器地址，也可以設置任意DNS地址，因為透明代理會處理這些請求。401.[AF]關于AF中IPv6技術，以下說法錯誤的是？A.AF中啟用IPv4/IPv6雙協議戰時會導致設備重啟[考試該項錯誤]B.AF中IPv6的地址轉換只能進行一對一轉換,不能進行多對一轉換C.AF中在進行IPv6源地址轉換時,統一轉換成對應的外網接口的IP地址D.AF中可使用NAT64的功能,實現IPv4與IPv6之間的互聯轉換正確答案:C解析：這道題考察的是對AF中IPv6技術的理解。首先，我們知道在AF中啟用IPv4/IPv6雙協議棧通常不會導致設備重啟，所以A選項描述是錯誤的，但題目問的是哪個說法錯誤，A不是答案。接著，IPv6的地址轉換確實主要是一對一轉換，不支持多對一轉換，B選項描述正確。然后，關于C選項，AF中進行IPv6源地址轉換時，并不是統一轉換成對應的外網接口的IP地址，而是根據配置的策略進行轉換，所以C選項描述錯誤，是題目的答案。最后，AF中確實可以使用NAT64功能實現IPv4與IPv6之間的互聯轉換，D選項描述正確。綜上所述，錯誤的說法是C選項。402.[AF]IPv6中的IP地址的長度為：A.32B.96C.128D.64正確答案:C解析：IPv6（InternetProtocolversion6）是互聯網協議的第六版，其設計初衷是解決IPv4地址耗盡的問題，并提供更好的安全性和其他改進。IPv6中的IP地址長度從IPv4的32位增加到128位，這一變化極大地擴展了可用的地址空間，確保了未來互聯網的可持續發展。因此，IPv6中的IP地址長度為128位，對應選項D。403.[AF]以下關于AF做DNS代理/DNS透明代理時的端口作用說法錯誤的是？A.DNS透明代理使用的端口是TCP5354端口B.UDP53端口用于做DNS解析C.TCP53端口用于做DNS解析D.TCP53端口用來做DNS服務器區域間傳送正確答案:C解析：這道題考察的是對DNS代理，特別是AF做DNS透明代理時端口作用的理解。在DNS系統中，UDP53端口確實用于DNS解析，而TCP53端口則用于DNS服務器之間的區域傳送。DNS透明代理通常不會使用TCP5354端口，這不是一個標準的DNS端口。因此，選項C中的說法“TCP53端口用于做DNS解析”是錯誤的。404.[AF]HTTP協議的頭部字段，目前默認不支持直接做sql注入檢測的是（）A.User-AgentB.HostC.Accept-EncodingD.Referer正確答案:C解析：Accept-Encoding頭部字段用于指定客戶端可以接受的媒體類型編碼，例如gzip、deflate等。由于其功能特性，它通常不會直接用于SQL查詢，因此默認不支持直接對其進行SQL注入檢測。相比之下，其他頭部字段如User-Agent、Referer可能包含用戶輸入的數據，若處理不當，這些數據有可能成為S