山东区渠道争霸赛-安全试题附有答案

山东区渠道争霸赛-安全试题[复制]您的姓名：[填空题]*_________________________________您的公司全称：[填空题]*_________________________________请输入您的手机号码：[填空题]*_________________________________1、【XDR】以下哪项当前XDR流程工单和SOAR剧本都无法实现的需求？[单选题]*A、接收上级单位通报威胁信息，下发预警通报工单B、针对病毒感染外联事件自动化处置C、客户希望在流程工单中能够联动钉钉自动下发通知(正确答案)D、管理资产入库、退库、变更2、【XAAS】已知深信服的SAASXDR可以对接探针，但是为什么探针无法进行跳转？[单选题]*A、只有通过账号密码接入的探针才能在XDR上直接进行跳转B、只有通过联动接入的探针才能在XDR上直接进行跳转(正确答案)C、深信服SAASXDR无法直接跳转探针设备D、深信服SIP和XDR均无法直接跳转探针设备3、【XDR】安全运营项目的过程可能出现很多变更问题，变更原则是什么？[单选题]*A、风险前移，不设具体变更流程(正确答案)B、变更必须经过客户书面同意C、变更必须由项目组全体成员投票决定D、变更必须在项目开始前确定4、【XDR】所有的安全运营项目都要通过ATX评审来保证质量，以下说法错误的是？[单选题]*A、ATI评审仅评估技术和方案的可行性，用来决策项目是否可跟进；B、ATB评审为投标做准备，需要评估项目成本C、ATC评审为合同签署做准备，除了要评估项目成本外，还需要评估项目的实际服务人员安排D、KA项目和一般项目，都可区域自闭环，无需总部参与评审(正确答案)5、【aES】关于aES6.0.2勒索备份缓解功能，下列说法错误的是？[单选题]*A、勒索备份功能会把备份文件放到ProgramData下受自保护保护的独立目录B、勒索备份缓解不需要依赖勒索诱饵防护功能的开启(正确答案)C、发现勒索行为，行为AI引擎会触发告警及处置，并通知驱动停止备份D、从备份区恢复被加密的原始文件时，可以自主选择是否需要密码保护6、【aES】关于agent从A-MGR迁移到B-MGR，下列方案可行的是[单选题]*A、国产化终端可以用6.0.2版本新增的终端迁移功能完成B、通过“管理平台多IP”可以把agent从本地版迁移到SaaS版的MGR上C、只需要配置“管理平台多IP”并保存配置，agent就会自动连接到新MGR上D、无论是“管理平台多IP”还是“终端迁移”，都只支持从低版本MGR迁移到高版本MGR(正确答案)7、【aES】关于aES6.0.2前置check，下列说法正确的是[单选题]*A、如果磁盘读写速度、内存读写速度check不通过，可能跟虚拟化环境的实时负载有关，可以间隔一些时间多次跑check，只要有一次通过的就行(正确答案)B、前置check包需要用SangforUpdater工具来打C、前置check非强制，不打前置check也可以直接升级6.0.2版本正式包D、前置check如果通过，则前端页面不会有弹窗回显8、【aES】关于aES6.0.2资产清点全局搜索，下列说法错误的有[单选题]*A、MGR资源高于4C8G（含）才能开启该功能(正确答案)B、请勿在24小时重复开启/关闭该功能C、该功能开启会增加MGR的资源消耗：CPU单核100%，内存1GB，磁盘空间70G/10000个agentD、可以通过该功能搜索文件md5来查看还有哪些终端有这个相同文件9、【AF】为保障AF双机控制链路的可靠性，通过3个物理接口聚合，并把该聚合后的接口关联到控制链路中。为此，客户需要聚合口能够进行灾备，聚合口的工作模式你推荐的是？[单选题]*A、负载均衡-HASH(正确答案)B、负载均衡-RRC、主备备份D、LACP（SIP+DIP+SPort+DPort）10、【AF】某企业互联网出口上下联交换机做了链路聚合（LACP负载），先为了保证内网的安全性，需要上线两台防火墙做冗余和安全防护。为此，那种部署方式较为合适？[单选题]*A、主备镜像B、主主透明+双机聚合(正确答案)C、主主透明D、主主透明+双机聚合+HAtraffic11、【XAAS】已知深信服的SAASaES由EDR和CWPP功能合并升级，请问社区已发布的产品装备中从哪个版本开始产品名称改为aES？[单选题]*A、3.7.2B、3.7.12C、3.8.6(正确答案)D、6.0.212、【XAAS】以下AF部署场景支持云威胁情报网关的是？[单选题]*A、双主部署（有非对称流量）B、透明部署在出口设备（配置公网地址的设备）上游场景C、旁路部署D、主备路由部署(正确答案)13、【XAAS】以下关于云威胁情报网关的配置说法不正确的是？[单选题]*A、AF8.0.85R+智能引流包版本配置云威胁情报网关时，必须要配置僵尸网络防护拒绝策略，否则云情报网关功能不生效。(正确答案)B、AF8.0.90版本配置云威胁情报网关时，需要配置僵尸网络防护拒绝策略，否则云情报网关功能不生效。C、AF8.0.85R+智能引流包版本配置云威胁情报网关时，必须要配置引流线路和引流策略，否则云情报网关功能不生效。D、AF8.0.90版本配置云威胁情报网关时，可以不需要配置引流策略，只配置僵尸网络防护拒绝策略和引流线路即可。14、【aTrust】关于认证失败排查思路错误的是？[单选题]*A、在很多认证场景，我们需要开启调试日志才好定位原因，开启调试日志的办法是webconsole执行aTrust_toollogsetsdp-passportDEBUGB、认证失败时我们需要检查一下设备的sdp-passport进程是否有正常运行C、如果是CAS认证失败，需要检查一下aTrust设备与CAS服务器之间的连通性D、aTrust2.3.10版本radius认证失败时，可能是因为不支持挑战认证导致的(正确答案)15、【SIP】下列这些常见安全日志中，哪些是明确具备反向通信特征的（即受害者发起连接）[单选题]*A、SQL盲注B、系统命令注入C、漏洞利用攻击D、反弹shell(正确答案)16、【SIP】内网是DHCP环境，导致风险资产基于ip的视角看到的风险主机一直在变化，下列哪个设备接入SIP可以辅助以风险用户的视角定位到真实的风险主机[单选题]*A、AFB、SSLC、AC(正确答案)D、XSEC17、【SIP】以下哪个横块是通过机器学习，并建立访问基线对异常行为进行识别的?[单选题]*A、SOARB、UEBA(正确答案)C、SIEMD、黄金眼18、【XAAS】以下哪一项不属于AF配置云威胁情报网关后获取不到POP节点IP原因？[单选题]*A、AF设备自身上不了网B、SASE侧云威胁情报网关的授权过期C、出口设备配置了拦截UDP12321端口的策略D、AF未配置僵尸网络拒绝策略(正确答案)19、【XAAS】以下关于云威胁情报网关授权相关的说法正确的是？[单选题]*A、AF自身不需要授权，云端SASE开通云威胁情报网关授权即可B、AF自身需要授权，云威胁情报网关授权即可，云端不需要云威胁情报网关授权C、AF自身和云端都不需要云威胁情报网关授权D、AF自身和云端都需要云威胁情报网关授权(正确答案)20、【XAAS】以下关于AF8.0.85R配置云威胁情报网关的说法正确的是？[单选题]*A、AF8.0.85R需要打智能引流包(正确答案)B、AF8.0.85R一定要配置僵尸网络策略，引流才能生效C、AF8.0.85R也支持虚拟网线场景订阅云威胁情报网关D、AF8.0.85R不支持路由多线路场景订阅云威胁情报网关21、【SIP】SIP检测到主机存在恶意域名访问行为，下列分析错误的是：[单选题]*A、确认是否为dns服务器、邮件服务器等代理场景，需要先定位真实访问源ipB、如为dns服务器等代理场景，可以结合防火墙的恶意域名重定向等功能定位真实访问的pcC、可以获取对应域名信息，在云沙箱平台上搜索分析确认对应域名的威胁情报信息，进行进一步确认D、可以联动AF进行进程取证，定位到主机访问该域名的具体进程文件信息(正确答案)22、【aTrust】关于aTrust授权说法错误的是？[单选题]*A、不使用沙箱和虚拟网络域情况下，aTrust上线用户只会占用aTrust接入授权(正确答案)B、从aTrust2.3.4版本开始，使用虚拟网络域的用户只会占用一个aTrust接入授权，不在依赖UEM授权，成为模块独立授权C、移动端封装应用用户会占用一个aTrust接入授权和一个UEM移动版授权D、aTrust2.2.2之前的版本UEM授权只有一个标准版授权，所以移动端应用封装和SDK都是占用的UEM标准版授权23、【aTrust】关于aTrust集群下列说法错误的是？[单选题]*A、Proxy集群由于是采用的DR模式，要求Proxy集群节点只能是在同一局域网，不能跨局域网之间的节点进行组建B、主线版本一致，但一台打了定制包或补丁包的，另一台没有，不建议组集群C、SDPC和Proxy集群都会同步配置信息(正确答案)D、软件版本、授权类型（分基础版和增强版）必须一致24、【aTrust】关于开启调试日志方式错误的是？[单选题]*A、设备认证调试日志的开启方式为在webconsole执行atrust_toollogsetsdp-passportDEBUGB、客户端调试日志开启方式为在安装目录aTrust\aTrustAgent文件夹中添加名称为Debug的文件（特别注意不要有文件类型后缀）C、UEM开启调试日志的方法为：64位系统在注册表：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sangfor\SSL\UEM\Log\level键值更新为132位系统在注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Sangfor\SSL\UEM\Log\level键值更新为1D、atrust跟uem的日志均在%appdata%\sangfor\atrust\logs目录下(正确答案)25、【AF】新架构AF应用识别规则库离线更新失败，下来排查方法不正确的是[单选题]*A、检查设备内存大小是否是4G及以下B、检查应用识别库升级日志/var/log/af/rulebase/update_app.log(正确答案)C、如果是双机环境下，检查主备双机的同步目录是否存在/tmp/af/hasync/updatelib/D、如果是双机环境下，检查同步日志/sfdata/log/hasyncd/26、【AF】配置了双向地址转换公网能正常访问，但是内网无法通过公网地址访问的可能原因有哪些[单选题]*A、服务器自身端口不通B、自定义服务源端口做了限制C、策略路由优先级高于目的路由，导致匹配到到全部上网的策略路由出去了(正确答案)D、源区域没有勾选服务器所在的区域27、【AF】关于AF新架构抓包的方法，下列说法不正确的有[单选题]*A、WEBUI的抓包工具除了带外管理的包，其他包都可以抓B、WEBUI的抓包工具有直接模式和混杂模式两种C、命令行抓包可以直接保存在抓包工具页面，同样是使用-w参数，不过书写文件名时，不需要加.pcap后缀，直接写-wwan就好D、命令行使用-iany时，可以抓取全部接口的包包括带外管理口数据(正确答案)28、【AF】防火墙哪些模块不会触发主动扫描行为？[单选题]*A、业务资产管理B、实时漏洞分析(正确答案)C、物联网安全D、勒索专项防护29、【XAAS】已知深信服的SAASEDR支持平滑的升级到国产化版本，请问需要以哪个版本作为前提条件才能进行升级？[单选题]*A、3.7.2B、3.7.12C、3.8.6D、6.0.2(正确答案)30、【XAAS】以下关于AF云威胁情报网关接入云端的过程不正确的是？[单选题]*A、AF连接云威胁情报网关需要放通:443、:6443、:443、:443这些域名和端口B、探测口探测设备与POP点地址的连通性，无需关注是否有多线路，只要探测设备与POP点连通性即可。(正确答案)C、引流的流量从业务口发出，且此流量会经过RT协议封装D、探测口针对POP节点的探测无需手动配置，在完成pop节点地址获取和配置探测口后自动生成探测配置31、【XAAS】关于SAASXDR安全事件，以下说法错误的是[单选题]*A、进程详情中包含进程所属用户，命令行参数B、安全事件详情通常包括基础信息、威胁告警信息、网络连接行为、文件行为等C、安全事件中检测出来的威胁实体无法联动EDR进行文件处置(正确答案)D、安全事件中检测出来的恶意连接可以联动AF进行网络侧封堵32、【SIP】用户发现内网有一台主机存在弱密码登录行为但SIP脆弱性感知模块没有检测到弱密码信息，下列分析思路错误的是：[单选题]*A、检查该主机资产属性是否为终端，终端属性则不会有弱密码数据在脆弱性模块展示B、确认主机登录流量是否为https数据，https流量需要sta上进行解密才能识别C、确认是否开启了http审计日志，http审计日志没有开启会影响弱密码检出(正确答案)D、在探针上抓取主机登录流量信息进行确认，如提交过程中网页对帐号密码进行了复杂的加密处理也会影响中间网安设备检出33、【aTrust】关于企业微信结合H5应用场景，下列说法错误的是？[单选题]*A、在这个企业微信结合H5应用场景下的“H5应用”实际为aTrustUEM中发布的移动端H5应用，即隧道应用(正确答案)B、当访问企业微信访问H5应用异常的时候，我们可以参照web应用的排查思路，使用企业微信自带的devtool工具查看整个H5应用请求过程C、企业微信的H5应用配置的地址必须要在aTrust设备上发布成web应用，且必须有授信域名证书D、如果想实现企业微信H5应用的单点登录，那么这个业务系统应用在不过atrust代理时，应该也要能跟企业微信可以单点登录，因为单点逻辑不是由aTrust去实现34、【aTrust】关于免认证应用说法错误的是？[单选题]*A、免认证应用不支持私有dns解析、web水印、告警信息B、免认证应用不建议发布非门户类应用，存在安全隐患C、免认证应用可以单独发布给单独的用户，可以对用户进行单独的授权(正确答案)D、前端访问地址需能解析到代理网关公网IP地址35、【AF】老架构AF中，以下哪种场景会导致直通无日志[单选题]*A、设备为虚拟网线模式部署，直通的数据正常被AF转发(正确答案)B、设备为路由模式部署，直通的数据正常被AF转发C、设备为透明模式部署，直通的数据被AF拦截D、设备为路由模式部署，直通的数据经过AF，且对应的ip被AF加白36、【SIP】下列设备接入SIP后能够实现同步资产到SIP资产中心的是：[单选题]*A、SSLB、ACC、EDR(正确答案)D、DAS37、【SIP】VSIP部署后发现控制台端口不通，后台查看443端口不监听，下列那种情况最后可能导致该问题[单选题]*A、没有使用ssd作为系统盘B、部署时只分配了系统盘，没有分配数据盘(正确答案)C、没有配置管理口地址D、没有配置默认路由38、【AF】基于域名的应用控制策略场景中，哪个场景必须开启域名主动查询？[单选题]*A、AF自身无法解析到此域名B、内网所有dns数据均不经过AF(正确答案)C、内网存在dns服务器D、pc的dns服务器未配置成AF内网口地址39、【XAAS】以下哪项能力不是SASE侧云威胁情报网关控制台界面具备的？[单选题]*A、SASE侧云威胁情报网关控制台界面可查看设备引流接入状态B、SASE侧云威胁情报网关控制台界面可查看设备引流线路状态C、SASE侧云威胁情报网关控制台界面可查看AF是否直通状态(正确答案)D、SASE侧云威胁情报网关控制台界面可查看云威胁情报网关的拦截日志和报表40、【AF】以下哪个配置不会导致地域访问控制策略不生效（不允许访问，但依旧可以访问）？[单选题]*A、访问的目的ip被加白B、地址库中未包含此源ipC、不小心开启了全局直通D、配置了放行的应用控制策略(正确答案)41、【aTrust】关于隧道资源说法错误的是？[单选题]*A、隧道资源在用户登录aTrust之后可以直接访问，无需再向控制中心做鉴权处理(正确答案)B、代理网关441端口不通时，优先在webconsole进行telnet441测试看设备是否正常监听了C、控制中心不发布隧道资源时，代理网关默认是不监听441端口的D、截止到目前2216版本，当隧道资源配置了域名地址又配置了IP地址，且强制下发了dns时，终端访问域名会解析成fakeip42、【aTrust】关于web资源说法错误的是？[单选题]*A、web前端地址必须配置成域名形式B、web应用针对复杂的业务系统，可以尝试发布透明代理和智能改写模式C、aTrust设备开启虚拟IP之后，只针对隧道应用生效，针对web应用不生效(正确答案)D、web全网资源黑名单可以根据新建一个web泛域名应用，但是不关联这个应用给用户，只关联web全应用，从而实现黑名单效果43、【AF】以下配置解密后，以下哪个说法是正确的[单选题]*A、配置解密不可能导致网站评分降低，反而会提升评分B、配置服务器解密后，AF接口上可以抓到解密后数据C、AF配置解密后，AF的waf安全策略模板中，无需在配置识别443(正确答案)D、AF配置解密后，使用的算法由AF决定；44、【SIP】关于SIP首页内容呈现说法错误的是：[单选题]*A、综合评级的分值可以自定义成固定分值B、综合评级的分值可以自定义扣分规则C、已处置状态的风险主机不会在风险TOP的视角呈现D、首页分值和综合大屏评分无关联(正确答案)45、【SIP】关于SIP大屏展示的说明错误的是：[单选题]*A、可以自定义大屏的统计周期B、可以自定义大屏统计的资产组范围C、可以自定义大屏的轮播顺序D、可以自定义大屏的超时时间(正确答案)46、【SIP】SIPsyslog日志外发功能支持对外同步如下哪项内容：[单选题]*A、操作日志B、http审计日志C、安全告警(正确答案)D、访问日志47、【AF】以下哪个场景不会导致双机配置不同步？[单选题]*A、双机内存不一致(正确答案)B、双机版本信息不一致C、双机功能授权不一致D、双机网口数量不一致48、【AF】AF升级时，无需关注以下哪个信息？[单选题]*A、设备版本信息B、设备使用年限C、设备升级授权D、设备接口数量(正确答案)49、【aTrust】截止2.3.10版本下列关于单个windows电脑SPA敲门失败排查错误的是？[单选题]*A、可以尝试性安装下5的客户端，解决一些已知的兼容性问题B、检查电脑时间是否正确，电脑时间不正确会导致敲门失败C、该电脑使用aTust客户端输入安全码敲门失败后，如果是域名连接场景，在电脑上ping域名测试能否解析，如果发现解析出来的ip地址是公网IP，说明解析没有问题，可以排除电脑无法解析域名的影响(正确答案)D、在电脑的物理网卡抓取公网ip的所有数据包发下tcp敲门过程没有携带spa种子，可能是电脑有安全软件拦截，可以尝试退出相关的可疑杀软、桌管软件，必要时候尝试卸载50、【aTrust】下列哪些方法不可以判断是国密（商密）设备？[单选题]*A、登录admin后台cat/hwinfo查看model=xxx字段，如果xxx是S开头则为商密设备，否则是普密设备B、登录admin后台执行/app/native-app/sdf/scripts/get_crypto_card_type命令查看密码卡型号，如果没有输出说明没有检测到加密卡基本上可以判断是非国密设备C、通过sn或者设备面板确认设备型号，设备型号aTrust-1000-Sxxxx系列是是商密型号，普通普密设备是b开头型号D、登录控制台查看设备的默认加密算法，进入【系统管理】-【系统配置】-【通用配置】-【控制台选项】-【控制台SSL/TLS协议设置选项】看设备的加密方式。(正确答案)51、【XDR】关于SOAR剧本（预案中心）高级设置说法正确是？*A、支持自定义输入输出参数(正确答案)B、自定义输入有数组、字典、应用、附件、消息文本五类(正确答案)C、父预案的输入参数可以传递给子预案(正确答案)D、子剧本（预案）的输出不能被父预案引用52、【XAAS】SASE是结合广域网接入与网络安全功能的一套网络安全架构，深信服的SASE方案，广域网接入除了已之配套软件接入之外，还支持传统的的硬件设备，如支持深信服AF、信锐设备、RT等传统硬件设备接入，客户可根据业务场景按需选择。经过设备的流量，硬件设备可通过以下那些信息调整引流策略，使得业务流和之前一样？*A、IP地址(正确答案)B、网卡C、进程D、域名(正确答案)53、【XAAS】深信服SASE方案，除了提供平台能力之外，在端的接入上，也做了很多能力，极大保障了客户服务使体验，以下那些是端的能力？*A、支持WINDOS、MAC、linux等系统安装B、就近接入：端会自动判断最近POP节点就近接入，确保底时延，保障客户上网体验(正确答案)C、免密安装，自动读取AD域账号上线(正确答案)D、信任域检测，在硬件AC和硬件引流场景，配置之后，在企业内部端自动进入信任域范围，不影响内部的上网管控(正确答案)54、【XDR】以下关于白名单管理的说法，错误的有哪些*A、新增白名单时，生效主机是告警中的目的IP字段(正确答案)B、添加白名单生效之后，匹配上白名单条件的告警，依旧会生成告警C、新增白名单时加白规则没有模糊匹配的运算符(正确答案)D、允许从具体的告警中添加告警白名单55、【aTrust】2.4.10版本新增沙箱勾选互联网访问选项有什么效果：*A、勾选互联网访问后为上网沙箱模式，文件隔离级别为强隔离，沙箱内程序完全看不到个人空间文件(正确答案)B、勾选互联网访问后，沙箱自动内自动放通互联网地址的访问，无需手动配置出站规则。C、勾选互联网访问后，沙箱策略将适配上网沙箱模式，自动取消文件加密功能(正确答案)D、勾选互联网访问后，沙箱策略将适配上网沙箱模式，自动允许文件导出，但不允许文件导入；56、【aES】关于aES6.0.2联动AF/SIP一键遏制