2025年PT2安全认证SSTP含ACAFSIPEDRAtrust题库【深信服PT2题库第二部分】

设备接入BBC后，确实会自动上报序列号信息，这是设备管理系统的基础功能，所以A选项正确。其次，BBC系统通常支持序列号的批量导出和导入功能，以便于管理和更新设备信息，因此B选项的说法是错误的。再次，BBC导出的分支设备序列号表格中，一般只包含设备的序列号，而不包含具体的功能序列号，这是为了保护设备的详细配置信息，所以C选项正确。最后，BBC在导入序列号信息后，确实可以对分支设备进行批量更新，这是批量更新功能的核心作用，所以D选项正确。综上所述，错误的选项是B。323.关于BBC的分支接入所使用的是BBC的哪个端口号A.TCP5000B.TCP5001C.UDP5001D.TCP4009正确答案:A解析：BBC的分支接入所使用的端口号是TCP5000，这是为了确保数据传输的稳定性和可靠性，TCP协议提供了面向连接的、可靠的、基于字节流的传输服务。324.以下哪一项功能是通过BBC无法实现的A.通过BBC单点登录到受控分支B.通过BBC给AC设备下发上网权限策略C.通过BBC统一查看受控端设备的告警信息D.通过BBC导出分支设备的安全事件记录正确答案:D解析：BBC设备在网络安全管理中扮演着重要角色，它能够实现多种功能以确保网络的安全和高效运行。具体来说，BBC可以支持单点登录到受控分支，这简化了网络管理员的操作流程；同时，BBC还能给AC设备下发上网权限策略，从而控制网络访问权限，增强网络安全性。此外，BBC还具备统一查看受控端设备的告警信息的功能，这有助于网络管理员及时发现并处理网络中的问题。然而，BBC设备并不支持导出分支设备的安全事件记录这一功能，这是其功能上的一个限制。因此，选项D“通过BBC导出分支设备的安全事件记录”是无法通过BBC实现的。325.统一集中管理场景中关于BBC设备的功能使用,以下说法正确的是?A.BBC作为统一集中管理平台统一纳管深信服的AF/AC等安全设备B.BBC作为VPN总部接入端,为分支提供VPN接入保障总部与分支的连通性C.BBC可以通过命令行下发的方式进行分支统一管理D.BBC作为总部或者分支网络出口路由设备,为总:或者分支提供路由转发的功能正确答案:A解析：这道题考察的是对BBC设备在统一集中管理场景中功能的理解。BBC设备在网络安全架构中扮演着重要角色，通常作为管理平台来统一纳管各种安全设备，如深信服的AF/AC等。这是BBC设备的一个核心功能，因此选项A正确描述了BBC的这一用途。其他选项B、C、D描述的功能并不是BBC设备在统一集中管理场景中的主要或特有功能，所以不正确。326.BBC部署形式与部署模式说法错误的是?A.可提供硬件物理设备BBCB.可提供虚拟镜像部署在云端C.使用单臂的部署模式完成设备的部署D.使用路由模式部署,作为内网的网关正确答案:D解析：这道题考察的是对BBC（宽带业务汇聚控制设备）部署形式与部署模式的理解。在统一集中管理场景下，BBC的部署确实可以包括提供硬件物理设备和提供虚拟镜像部署在云端这两种形式。同时，BBC也支持使用单臂的部署模式来完成设备的部署。然而，关于路由模式部署作为内网的网关这一点，并不是BBC的典型部署方式，因此选项D的说法是错误的。327.BBC的eth0口缺省IP地址是多少A./24B.51/24C.52/24D.54/24正确答案:A解析：BBC的eth0口缺省IP地址是一个固定的值，用于设备出厂时的默认配置或在网络中进行初始设置。根据题目给出的选项和搜索结果，可以确定该缺省IP地址为/24。328.SDW-R的策略路由模块不支持哪种故障探测方式A.ping检测B.DNS检测C.ARP检测D.网口UP/DOWN检测正确答案:C解析：SDW-R（或类似的网络设备）的策略路由模块通常包含多种故障探测方式，以确保网络连接的稳定性和冗余性。常见的故障探测方式包括ping检测、DNS检测和网口状态检测等。ARP检测（C选项）通常用于检测局域网内的设备连通性，但它并不属于策略路由模块的故障探测方式。策略路由模块主要关注的是网络路径的连通性和可达性，而ARP检测更多的是针对局域网内的设备地址解析。因此，SDW-R的策略路由模块不支持的故障探测方式是C、ARP检测。329.邮件易部署功能的基础排障思路中,以下说法错误的是?A.检查BBC的访问地址,需要保证该地址为互联网映射后的地址,保证分支可通过该地址访问到BBCB.通过易部署链接无法访问设备时,检查连接易署的PC的IP地址配置是否与设备的LAN口默认地址同一个网段C.当分支管理员未接收到邮件时,检查下发邮件的邮箱地址是否时该管理员的邮箱地址D.但邮件易部署接入BBC失败时,需要检查BBC与云图之间的对接是否正常。正确答案:D解析：邮件易部署功能主要依赖于内部网络配置及邮件服务的正确设置。对于选项A，BBC（这里可能指的是某种中心服务器或邮件服务器）的访问地址确实需要是互联网映射后的地址，以确保分支能够访问。对于选项B，如果易部署链接无法访问设备，检查PC的IP地址配置是否与设备的LAN口默认地址在同一网段是合理的排障步骤。对于选项C，如果分支管理员未接收到邮件，检查下发邮件的邮箱地址是否正确是必要的。然而，对于选项D，虽然检查系统间的对接是否正常是一个通用的排障步骤，但在邮件易部署功能中，接入BBC失败通常不会直接涉及到与“云图”之间的对接问题，除非“云图”是邮件易部署功能的一部分或与之紧密集成，这在题目中没有提及。因此，相较于其他选项，D选项与邮件易部署功能的基础排障思路关联性较弱，故判断为错误。330.【SG】上网优化管理_代理上网SG，支持哪些代理模式？A.PAC脚本代理B.SOCKS代理C.以上均支持D.HTTP显示代理正确答案:C解析：深信服SG上网优化管理系统支持多种代理模式，包括HTTP显示代理、SOCKS代理和PAC脚本代理。HTTP显示代理适用于需要HTTP代理的场景；SOCKS代理支持SOCKS4和SOCKS5协议，适用于需要代理访问的网络资源；PAC脚本代理通过配置PAC脚本，实现更灵活的代理规则设置。因此，选项D“以上均支持”是正确的。331.[AC]下列选项中不属于深信服移动终端识别技术的是（）A.refer特征识别B.UA特征识别C.URL检测技术D.应用规则检测正确答案:A解析：这道题考察的是对深信服移动终端识别技术的了解。深信服在移动终端识别方面有多种技术，其中应用规则检测、URL检测技术和UA特征识别都是其识别技术的一部分。而refer特征识别并不属于深信服移动终端的识别技术范畴，因此选项D是正确答案。332.[AC]关于全网行为管理的802.1x认证功能，下列说法错误的是？A.802.1x认证的用户只能是本地用户或者域用户B.动态vlan支持在用户认证成功的时候,全网行为管理告诉交换机划分端口vlanC.针对哑终端,可以做用户绑定,用户名为mac地址,绑定终端的macD.radius报文中默认1813是认证端口,1812是计费端口正确答案:D解析：这是一道关于802.1x认证功能的专业知识题。首先，我们知道802.1x认证是一种网络接入控制协议，用于增强网络安全。A选项提到802.1x认证的用户类型，这是正确的，因为在实际应用中，认证用户通常是本地用户或域用户。B选项涉及哑终端的用户绑定，这也是正确的。在实际部署中，对于无法自主进行认证的设备（如哑终端），可以通过绑定其MAC地址来实现用户认证。C选项描述的是动态VLAN的功能，这也是802.1x认证的一个重要特性。在用户认证成功后，全网行为管理可以指示交换机划分端口VLAN，以实现更灵活的网络管理。D选项则存在错误。在RADIUS协议中，默认情况下，1812端口用于认证服务，而1813端口用于计费服务。这与D选项中的描述相反。综上所述，D选项是错误的，因为它错误地描述了RADIUS协议中认证和计费端口的默认分配。333.[AC]关于802.1x认证，下列说法正确的是？A.802.1x认证只能用深信服的认证助手(准入客户端)B.强管控场景推荐portal认证C.802.1x认证安全性高于portal认证D.802.1x认证便捷性更高正确答案:C解析：802.1x认证是一种基于端口的网络接入控制协议，它能够在用户接入网络时对其进行认证，从而确保网络的安全性。与portal认证相比，802.1x认证在安全性方面表现更为出色，因为它在接入网络之前就对用户进行了认证，有效防止了未经授权的访问。因此，选项A“802.1x认证安全性高于portal认证”是正确的描述。334.【SG】上网优化管理_代理上网功能的使用场景说法错误的是A.突破自身IP访问限制,访问国外站点。如:教育网、169网等网络用户可以通过代理访问国外网站。B.隐藏真实IP:上网者也可以通过这种方法隐藏自己的IP,免受攻击。C.作为网络访问的一种方式,方便跟进策略进行URL过滤,应用过滤D.Proxy工作在网络层,实现了隐藏保护的功能正确答案:D解析：Proxy工作在网络层，实现了网络数据包转发的功能，其本身并不具备隐藏用户IP地址的功能。因此选项D是错误的。335.【AC】当在802.1X认证场景时，下列说法不正确的时A.AC支持802.1x认证B.802.1x认证，AC是充当RADIUS服务端角色C.802.1x认证，AC是充当RADIUS客户端角色D.该场景认证协议只支持PAP正确答案:C解析：这道题考察的是802.1X认证的相关知识。在802.1X认证场景中，AC（接入控制设备）确实支持802.1X认证，所以A选项正确。而在802.1X认证过程中，AC通常充当的是RADIUS客户端的角色，与RADIUS服务器进行通信，完成用户的认证过程，因此B选项错误，C选项正确描述了AC的角色。至于D选项，802.1X认证协议支持PAP和CHAP两种认证方式，所以D选项的说法是不正确的。综上所述，不正确的说法是D，但题目要求选择不正确的选项，且答案给出的是C，这里可能存在题目或答案的表述问题。按照题目要求和给出的答案，我们解析C选项为何被误判为不正确：在802.1X认证中，AC确实是作为RADIUS客户端，与RADIUS服务器协同工作，完成认证，所以C选项描述是正确的，但题目答案指向C，可能是题目的误导或答案的错误。实际上，不正确的说法应该是D。336.[AC]某公司要求员工禁止使用外设设备，下面关于全网行为管理外设管控功能说法不正确的是（）A.支持外设设备白名单,白名单中的设备不受管控B.支持管控存储设备、网络设备、蓝牙设备、摄像头、打印印机C.不能实现U盘的精细化管控D.可以用设备上的工具读取设备ID进行加白名单操作正确答案:C解析：全网行为管理的外设管控功能通常具备多方面的特性。它支持管控多种外设设备，如存储设备、网络设备、蓝牙设备、摄像头和打印机，以确保公司环境的安全性。同时，该功能也支持外设设备白名单，列入白名单的设备将不受管控，这为公司提供了灵活性，允许特定设备在需要时正常使用。此外，为了方便管理，该功能还能够通过设备上的工具读取设备ID，并将其添加到白名单中。然而，关于U盘的精细化管控，这一功能通常无法实现，因为U盘作为便携式存储设备，其使用和管理需要更为细致和严格的控制机制，而一般的全网行为管理系统可能无法提供这种级别的管控。因此，选项C“不能实现U盘的精细化管控”是不正确的说法，实际上这正是全网行为管理外设管控功能的一个局限性。337.[AC]关于终端检查策略不生效的原因，以下说法不正确的是？A.所有的操作系统都支持安装准入插件,可以排除操作系统的因素B.检查是否开启直通C.准入策略关联的用户是否在线,适用终端和区域是否正确D.检查是否添加了相关全局地址排除正确答案:A解析：这道题考察的是对终端检查策略不生效原因的理解。在网络安全领域，终端检查策略是用于确保只有符合特定安全标准的设备才能访问网络资源。选项A提到的“检查是否开启直通”是策略生效的前提；选项B提到的“准入策略关联的用户是否在线，适用终端和区域是否正确”是策略正确应用的关键；选项C提到的“检查是否添加了相关全局地址排除”是避免策略误判的必要步骤。而选项D提到的“所有的操作系统都支持安装准入插件”是不准确的，因为并非所有操作系统都支持安装特定的网络安全插件，操作系统的兼容性是策略实施时需要考虑的因素之一。因此，D选项是不正确的说法。338.[AC]小李在准备某次准入测试项目中，事先了解到客户需求是需要做802.1X认证和杀软检查、U盘管控准入策略，需要进行一些测试前准备，以下哪一步不是必需的？（）A.第一步:调研客户网络环境,确认客户真实需求和痛点。B.第四步:收集客户是否有U盘加密需求。C.第三步:收集客户网络中终端系统类型及版本。D.第二步:收集客户网络中交换机和无线控制器品牌型号。正确答案:B解析：这道题考察的是对准入测试项目准备步骤的理解。在准备阶段，了解客户网络环境、确认真实需求和痛点（A选项）是基础且必需的；收集网络中终端系统类型及版本（C选项）对于制定测试策略至关重要；了解网络中交换机和无线控制器品牌型号（D选项）有助于确保测试环境的兼容性。而收集客户是否有U盘加密需求（B选项）并非802.1X认证、杀软检查和U盘管控准入策略的直接测试前准备，因此不是必需的。所以，正确答案是B。339.[AC]关于全网行为管理杀软检查功能，下列说法错误的是？A.流量杀软检查中企业杀软支持自定义,需要终端和杀软中心端有流量交互。B.插件杀软检查支持检查杀软的版本号。C.支持通过插件检查和流量检查方式。D.终端和杀软中心端服务器的流量不经过ac也支持检查。正确答案:D解析：这道题考察的是对全网行为管理杀软检查功能的理解。根据相关知识，全网行为管理确实支持通过插件和流量两种方式进行杀软检查，插件方式能检查杀软的版本号，流量方式中企业杀软支持自定义，并且需要终端和杀软中心端有流量交互。然而，选项D的说法“终端和杀软中心端服务器的流量不经过ac也支持检查”是不准确的，因为在实际应用中，流量检查通常需要通过AC（AccessControl，访问控制）设备来进行，以确保流量的正确管理和检查。因此，D选项是错误的。340.[AC]客户采购了某安全杀毒软件，希望实现未运行杀毒软件的终端不能上网，下列选项中说法错误的是？A.准入规则定义需检查持续运行的进程名B.客户可以通过深信服AC的终端准入规则策略实现C.如果客户端没有运行杀软,可以实现禁止上网并提醒终端耑客户D.只支持检查Windows和MAC操作系统正确答案:D解析：这道题考察的是对网络准入控制（NAC）技术的理解。在选项中，A项正确，因为准入规则确实需要检查持续运行的进程名来确认杀毒软件是否在运行。B项也正确，深信服AC（应用控制）产品支持通过终端准入规则策略来实现这一功能。C项描述也是准确的，如果客户端没有运行杀毒软件，系统可以实现禁止上网并提醒终端用户。D项错误，因为现代的NAC解决方案通常支持多种操作系统，不仅限于Windows和MAC，还可能包括Linux等。因此，D项的说法是错误的。341.[AC]AC13X版本旁挂在核心交换机上，运维管理员小李需要管控内网终端接入但是希望用户体验无感知，小李找你咨询解决方案，以下回答正确的是（）A.可使用MAB+portal认证,给客户讲解MAB认证原理。B.可使用802.1X+本地账号密码认证,给客户讲解802.1X认证原理。C.获取网络中交换机品牌型号,确认是否支802.1X协议。D.可使用RST旁路重定向认证。正确答案:C解析：这道题考察的是对网络接入控制技术的理解。在旁挂AC的场景下，为了管控内网终端接入同时保证用户体验无感知，首先需要确认网络设备（如交换机）是否支持相应的认证协议。802.1X是一种常用的网络接入控制协议，因此，确认交换机是否支持802.1X协议是解决问题的第一步。选项C正确指出了这一步骤，是合理的解决方案起点。342.[AC]下面关于全网终端识别功能的说法，不正确的是A.支持识别网络设备如路由器交换机等B.三层环境下不建议开启跨三层取MAC地址功能C.识别网络设备需要开启snmp功能D.支持识别办公设备如PC和移动终端等正确答案:B解析：这道题考察的是对全网终端识别功能的理解。全网终端识别功能主要用于识别和管理网络中的各种设备，包括网络设备和办公设备。A选项正确，因为全网终端识别功能确实支持识别网络设备，如路由器和交换机。B选项也正确，因为它同样支持识别办公设备，如PC和移动终端。C选项正确，因为识别网络设备通常需要开启SNMP功能以获取设备信息。D选项不正确，因为在三层环境下，跨三层取MAC地址功能是常用的，也是推荐开启的，以便于更准确地识别和追踪网络设备。所以，答案是D。343.[EDR]以下对于国产化EDR说法错误的是A.SSH服务管控支持设置禁止通过SSH接入国产化终端,防止终端SSH接入被恶意利用带来安全隐患。功能启用后,将无法通过SSH协议接入PC终端。B.国产化EDR可以通过微隔离功能进行封堵主机的高危端口C.专用机单机版只支持终端桌面版,且有图形化图面+只有杀毒(病毒库需手动导入)D.国产化EDR分为专用版和非专用机正确答案:B解析：A选项描述了SSH服务管控的功能，即支持设置禁止通过SSH接入国产化终端，这确实是一个安全措施，用于防止SSH接入被恶意利用带来的安全隐患。因此，A选项描述是正确的。B选项提到国产化EDR可以通过微隔离功能进行封堵主机的高危端口。然而，根据国产化EDR的常见功能，微隔离主要用于隔离和保护关键应用和数据，而不是直接封堵主机的高危端口。高危端口的封堵通常是由网络防火墙或主机安全软件来实现的。因此，B选项描述是错误的。C选项描述了专用机单机版的功能，即只支持终端桌面版，并且有图形化界面和杀毒功能（病毒库需手动导入）。这符合一些国产化EDR产品的功能特点，因此C选项描述是正确的。D选项提到国产化EDR分为专用版和非专用机。这反映了国产化EDR产品可能存在的不同版本或类型，符合产品多样化的实际情况。因此，D选项描述是正确的。综上所述，错误的说法是B选项，即国产化EDR可以通过微隔离功能进行封堵主机的高危端口。344.[EDR]以下关于EDR联动云图说法错误的是?A.EDR和X-Central联动，可以使云图直接管理DER，形成一体化查杀功能，对威胁的云网端纵深防护闭环体系。B.能够实现联动处理威胁文件、僵尸网络举证C.EDR和X-Central的联动只需要在X-Central平台填写对应的接入信息完成联动对接。D.在云图logo处获取云图企业ID（用于在EDR平台对接X-Central时填写企业ID）正确答案:C解析：EDR和X-Central联动后可以实现云网端纵深防护闭环体系，对威胁进行一体化查杀和处理，同时能够实现联动处理威胁文件、僵尸网络举证。在联动时，需要在X-Central平台填写对应的接入信息完成联动对接，并且可以在云图logo处获取云图企业ID用于在EDR平台对接X-Central时填写。因此，选项C说法错误。345.[EDR]以下哪项不是常见的用作行为监控的工具A.MalwareDefenderB.火绒剑C.Wireshark流量抓包D.everything正确答案:D解析：这道题考察的是对行为监控工具的了解。EDR（EndpointDetectionandResponse）关注于终端的检测与响应，通常涉及监控、检测和响应终端上的恶意行为。-A选项，MalwareDefender，是一款知名的安全软件，具有行为监控功能，用于检测和防御恶意软件。-B选项，火绒剑，是火绒安全软件的一部分，提供行为监控和深度分析功能，用于识别和阻止恶意行为。-C选项，Wireshark流量抓包，是一款网络协议分析工具，能够捕获和详细分析网络流量，常用于监控网络层面的行为。-D选项，everything，是一款快速文件搜索工具，主要用于快速查找文件，并不具备行为监控的功能。因此，D选项“everything”不是常见的用作行为监控的工具，是正确答案。346.[EDR]EDR级联可以实现什么功能：A.下级平台通过上级平台更新病毒库B.下级平台通过上级平台升级版本C.下级平台同步终端信息到上级平台D.上级平台给下级平台下发病毒查杀任务正确答案:C解析：EDR（EndpointDetectionandResponse）级联功能主要关注的是不同层级平台之间的信息交互与协作。考虑到级联的本质，它通常用于实现信息的同步与共享，而不是用于更新病毒库、升级版本或下发具体的任务操作。在这些选项中，同步终端信息到上级平台是一个典型的信息共享场景，符合级联的基本用途。因此，C选项“下级平台同步终端信息到上级平台”是正确的答案。347.[EDR]病毒查杀发现恶意文件的推荐处理动作是A.忽略处置B.仅上报,不处置C.严格处置D.标准处置正确答案:D解析：在病毒查杀过程中，如果发现恶意文件，通常需要进行适当的处置。根据试题集的要求，推荐的处理动作是“标准处置”，即按照正常文件处理流程进行查杀、隔离、删除等操作。因此，选项B是正确的答案。348.[EDR]下列哪个进程不是edragent在windows环境中的进程：A.sfavui.exeB.sfping.exeC.edr_agent.exeD.sfavsvc.exe正确答案:B解析：在Windows环境中，edragent的相关进程通常包括用于执行安全监测、防护等任务的程序。其中，sfavui.exe和sfavsvc.exe可能是与edragent相关的用户界面服务或安全服务进程，edr_agent.exe则直接表明了是edragent的主进程。而sfping.exe通常与ping命令相关，用于测试网络连接，并非edragent的组成部分。因此，可以确定sfping.exe不是edragent在Windows环境中的进程。349.[EDR]下列哪个进程不是edragent在linux环境的进程：A.sfavsvcB.abs_deployerC.sfavsrvD.edr_agent正确答案:A解析：这道题考察的是对Linux环境下edragent相关进程的了解。在Linux环境中，edragent通常与特定的安全或管理进程相关联。根据edragent的常规进程列表，我们知道`sfavsvc`并不是edragent的一个标准进程，而`abs_deployer`、`sfavsrv`和`edr_agent`是与edragent相关的常见进程。因此，根据这个知识点，我们可以确定A选项`sfavsvc`是不属于edragent在Linux环境的进程。350.[EDR]以下哪项不是威胁处置的常见工具A.WinSCPB.PCHunterC.ProcessMonitorD.Autoruns正确答案:A解析：EDR（EndpointDetectionandResponse，端点检测与响应）是一种网络安全技术，用于检测和响应网络攻击。在威胁处置的过程中，常用的工具包括能够帮助分析系统行为、监控进程、管理启动项等的安全软件。A选项WinSCP是一个Windows环境下使用SSH协议进行远程文件传输的工具，虽然它在某些情况下可能用于远程系统管理，但它并不是专门用于威胁处置的工具。B选项PCHunter是一款Windows系统下的系统信息和进程查看工具，它可以帮助用户查看和管理系统中的进程、线程、模块等信息，是威胁处置中常用的工具之一。C选项ProcessMonitor是微软提供的一款强大的进程监控工具，能够实时监视系统进程创建、线程创建、文件系统、注册表、网络等活动的监控，对于威胁处置非常有用。D选项Autoruns是一款用于查看和管理Windows启动项的工具，它可以帮助用户了解和管理哪些程序会在系统启动时自动运行，对于识别恶意软件和进行威胁处置很有帮助。综上所述，A选项WinSCP不是专门用于威胁处置的常见工具，因此正确答案是A。351.[EDR]以下对于最新版本国产化EDR与SIP联动说法错误的是A.能从SIP平台下发联动封锁B.能实现EDR资产上报至SIP平台C.能从SIP平台下发病毒查杀D.能实现EDR安全日志上报正确答案:A解析：在探讨最新版本国产化EDR（EndpointDetectionandResponse，终端检测与响应）与SIP（SecurityInformationandEventManagement，安全信息和事件管理）的联动功能时，我们需要明确它们之间的交互能力和限制。352.EDR:以下哪个网站无法进行勒索病毒家族判断A.https://edr.sangB./C.D./正确答案:B解析：暂无解析353.[EDR]以下关于EDR邮件告警说法错误的是A.可以选择日报或者周报,或月报B.报表可以生成word及pdf两种格式C.可针对报告进行自动订阅,在[报表订阅]页签下可对报告名称、报告类型、发送时间及收件人进行配置。D.报表名称支持自定义正确答案:B解析：EDR邮件告警报表的生成格式是支持多种格式的，包括但不限于PDF、Word等。但本题中选项B说报表可以生成word及pdf两种格式，这个说法是错误的。因此，B选项是错误。354.[EDR]以下对于国产化EDR安装部署说法错误的是A.安装管理平台服务器如果是国产化服务器,则下载PKG安装包和安装脚本,并且服务器需要提前安装好操作系统、配置好网络配置,最后再通过XDR安装脚本和PKG安装包安装XDR管理平台。B.国产化EDR安装包可以在深信服社区下载获取C.安装管理平台服务器如果是X86架构intel芯片,则下载ISO镜像,通过ISO镜像安装,镜像自带centos操作系统。D.非涉密环境只提供网络版正确答案:D解析：非涉密环境通常提供的是单机版，而不是网络版，因此选项D是错误的。其他选项均正确。355.EDR:以下哪些场景可以加入文件隔离区处理A.黑客工具、广告软件、注册机、破解软件等文件B.用户自己开发的工具,确认非感染型C.有可信数字签名,VT没有厂商报毒D.无可信数字签名,VT没有厂商报毒正确答案:A解析：EDR（EndpointDetectionandResponse，端点检测与响应）是一种安全技术，用于监控、检测和应对端点设备（如个人电脑、服务器等）上的威胁。文件隔离区通常用于隔离和处理可能包含恶意软件的文件，以防止它们对系统造成损害。对于给出的选项：A.黑客工具、广告软件、注册机、破解软件等文件：这些文件往往含有恶意代码或用于非法目的，因此应该被加入文件隔离区处理。B.用户自己开发的工具，确认非感染型：如果是用户自己开发的且已确认无恶意的工具，通常不需要加入文件隔离区处理。C.有可信数字签名，VT没有厂商报毒：如果一个文件有可信的数字签名，且病毒总库（VT）中没有厂商报告其为恶意，则这个文件很可能是安全的，不需要加入文件隔离区。D.无可信数字签名，VT没有厂商报毒：即使VT没有报毒，但如果没有可信的数字签名，文件的来源和安全性无法验证，因此也建议加入文件隔离区处理，以便进一步的分析和确认。根据以上分析，只有A选项描述的场景应该加入文件隔离区处理。因此，答案是A。356.[EDR]我们在进行Linux病毒排查的过程中，哪一个不是我们重点关注的A.可疑文件路径B.可疑网络连接C.定时任务D.系统文件正确答案:D解析：在Linux病毒排查过程中，我们重点关注的包括可疑文件路径、可疑网络连接和定时任务，这些都是病毒可能存在的位置或行为。而系统文件虽然也是重要的，但不是我们重点关注的，因为它通常是由系统本身提供的，而病毒通常不会感染系统文件。因此，选项D是正确的答案。357.[EDR]以下关于管理员权限分离说法错误的是A.超级管理员:超级管理员不能修改用户名,只能使用默认adminB.审计管理员:只能查看平台上的内容,不能在平台上进行修改、增加、删除操作。C.安全管理员:不能对平台微隔离模块、联动管理、报表订阅、账号管理、升级、授权、分支管控、系统设置模块进行操作,其他权限不限。D.系统管理员:只能在平台首页查看、在系统管理页面操作正确答案:A解析：在权限分离的原则下，不同角色的管理员拥有不同的权限。A选项描述审计管理员的权限为只读，符合权限分离的要求。C选项描述安全管理员对特定模块的权限受限，也是合理的。D选项指出系统管理员只能在特定页面操作，这同样符合权限分离的原则。而B选项提到超级管理员不能修改用户名，只能使用默认admin，这在实际应用中是不合理的，因为超级管理员通常拥有最高权限，包括修改用户名等。因此，B选项是错误的。358.[EDR]隔离网场景（即EDR管理端可以上网，但终端无法上网），下列关于windows系统漏洞修复说法错误的是A.可以启用“当终端无法从内置服务器下载补丁包时，允许管理平台主动下载补丁包文件”，由管理平台代理下载漏洞补丁进行修复B.可以使用漏洞补丁离线下载工具下载系统漏洞补丁并导入管理平台，终端从管理平台下载漏洞补丁进行修复C.可以在内网搭建系统漏洞补丁服务器，设置终端从内网系统漏洞补丁服务器下载漏洞补丁进行修复D.可以通过在EDR管理端设置终端从微软漏洞补丁服务器下载系统漏洞补丁进行修复正确答案:D解析：在隔离网场景中，EDR（EndpointDetectionandResponse，终端检测与响应）管理端能够上网，但终端无法直接访问外网。针对Windows系统的漏洞修复，我们需要考虑的是如何在终端无法直接访问外部补丁服务器（如微软漏洞补丁服务器）的情况下进行补丁的下载和安装。A选项：提到当终端无法从内置服务器下载补丁包时，允许管理平台主动下载补丁包文件，并由管理平台代理下载漏洞补丁进行修复。这是一个合理的做法，因为管理平台可以上网，可以代理下载补丁然后推送给终端。B选项：建议使用漏洞补丁离线下载工具下载系统漏洞补丁并导入管理平台，终端再从管理平台下载漏洞补丁进行修复。这同样是一个可行的方案，因为这样可以预先下载好补丁并导入管理平台，终端从管理平台获取即可。C选项：建议在内网搭建系统漏洞补丁服务器，设置终端从内网系统漏洞补丁服务器下载漏洞补丁进行修复。这同样适用于隔离网场景，因为内网服务器不受外网限制，终端可以从内网服务器下载补丁。D选项：提到通过在EDR管理端设置终端从微软漏洞补丁服务器下载系统漏洞补丁进行修复。这与隔离网场景的要求相违背，因为在此场景中，终端无法上网，因此无法直接从微软或其他外部服务器下载补丁。综上所述，D选项的描述是错误的，因为在隔离网场景中，终端无法直接从外部服务器下载补丁。因此，正确答案是D。359.[EDR]下列关于EDR级联功能说法错误的是A.三级控制中心:负责向二级控制中心上报数据;管理本控制中心下的终端。B.二级控制中心:负责向总控中心上报数据;三级控制中心的数据汇聚和数据展示;管理本控制中心及三级下的终端。C.EDR最多支持三级级联,上级MGR最大支持级联20个下级MGRD.总控制中心:负责整体的数据汇聚与数据展示。正确答案:B解析：EDR级联功能涉及不同级别的控制中心及其职责。根据常规理解，总控制中心负责整体数据汇聚与展示，三级控制中心负责向二级上报数据并管理本级终端。选项B中提到二级控制中心除了向总控中心上报数据外，还要负责三级控制中心的数据汇聚和数据展示，这与常规理解存在冲突。通常，二级控制中心不会负责三级的数据展示，其主要职责是数据上报和管理本级及下级终端。因此，选项B的说法是错误的，答案为B。360.[EDR]控制台支持查询的日志不包含以下哪项？A.操作日志B.高可用日志C.安全日志D.运维日志正确答案:B解析：在解析此题时，首先要理解EDR-L2控制台的功能及其支持的日志类型。一般而言，控制台会支持多种日志的查询，以满足运维和安全的需求。*操作日志（A选项）记录了用户在系统上进行的各种操作，是常见的日志类型。*安全日志（B选项）则涉及系统的安全事件，如登录尝试、权限变更等，也是重要的日志类型。*运维日志（D选项）包含了系统运维过程中的相关信息，对于监控和故障排查至关重要。而高可用日志（C选项）主要关注的是系统的高可用性，包括故障转移、负载均衡等，这类日志通常不会直接通过控制台提供查询，因为它们更多关注于系统底层的行为，而不是用户操作或系统安全。因此，结合上述分析，可以确定EDR-L2控制台不支持查询的日志是高可用日志，即C选项。361.[EDR]以下关于EDR安装部署说法错误的是A.EDR支持通过AD域推送安装,终端安装过程中会先从管理端下载必要组件进行安装,大量终端同时安装会占用带宽,为了避免大量终端同时下载而导致网络被占满,建议限制单次批量部署最大终端数,保障安装稳定性。B.当网络内同时部署了深信服行为管理设备AC和深信服终端检测响应平台EDR时,可通过行为管理设备检测内网终端EDRagent安装情况并进行推送。C.当网络内同时部署了深信服态势感知设备SIP和深信服终端检测响应平台EDR时,可通过态势感知设备检测内网终端EDRagent安装情况并进行推送。D.最佳安装建议:为了避免大量终端同时下载而导致网络被占满,建议限制单次批量部署最大终端数,保障安装稳定性。正确答案:C解析：当网络内同时部署了深信服态势感知设备SIP和深信服终端检测响应平台EDR时，建议进行分段批量安装，而不仅仅是依赖于SIP设备的检测功能，因为EDRagent安装可能需要更大的网络带宽，所以在回答中我选择了C选项。362.[EDR]以下关于EDRALLINONE方案说法错误的是A.AIOv1.0与v2.0版本不兼容,各产品线需要使用相同的aio迭代版本才支持联动。B.工作台融合EDR、AC功能访问入口,支持在工作台安全页面进行EDR客户端功能快捷操作和状态集成C.支持在服务端全局开启/关闭工作台功能,不再支持独立客户端质面,后续只有portal页面和工作台两个接入入口。D.右键点击系统托盘,点击退出客户端选项,在对话中选择同时退出“EDR终端检测响应”,可以同时退出aTrust和EDR客户端。此场景EDR客户端退出不需要转输入防护密码。正确答案:D解析：这道题考察的是对EDRALLINONE方案的理解。根据EDR产品的特性和常规操作，我们知道EDR客户端在退出时通常需要验证防护密码以确保安全。现在来分析每个选项：A选项描述了AIO版本兼容性和产品线联动的要求，这是产品迭代和兼容性的常规考虑，符合EDR产品的更新和维护逻辑。B选项提到工作台融合了EDR和AC的功能访问入口，支持快捷操作和状态集成。这是工作台设计的一种常见做法，旨在提高用户操作效率和集成度。C选项说明可以在服务端全局控制工作台功能的开启/关闭，并指出后续只有portal页面和工作台两个接入入口。这反映了产品对功能控制和访问入口的简化趋势。D选项则声称右键点击系统托盘退出客户端时不需要输入防护密码，这与EDR客户端常规的安全操作相悖。通常，为了保障系统安全，退出EDR客户端时需要验证密码。综上所述，D选项的说法与EDR产品的安全操作原则不符，因此是错误的。363.[EDR]EDR级联需要用到下列哪个端口：A.http:80B.ipc:8083C.abs:54120D.ssh:22345正确答案:D解析：暂无解析364.EDR:以下针对防勒索解决方案落地中说法错误的是A.将所有产品的版本升级到防勒索解决方案当前推荐的版本。B.在AF上开启防勒索专项评估,可快速分析业务面对勒索的安全风险以及处置建议和已发送的勒索病毒事件C.在EDR上开启勒索病毒诱捕功能,实现对勒索行为的检测D.必须通过微隔离技术,对风险主机进行隔离,切断主机之间的通信正确答案:D解析：防勒索解决方案落地中，选项D的说法是错误的。微隔离技术通常用于隔离风险主机，防止恶意软件传播，但并非必须通过微隔离技术才能切断主机之间的通信。其他选项A、B、C都是针对防勒索解决方案的有效落地措施，因此是正确的。365.SIP:SIP云化部署中,下列哪个说法是错误的A.HCI环境下,STA支持物理交换机镜像流量接入B.VMware环境内部流量可以通过虚拟化分布式交换机镜像流量C.VMware环境下,STA支持物理交换机的镜像流量接入D.HCI环境中,不支持物理交换机镜像接入,也不支持类似VDS技术镜像接入正确答案:A解析：在SIP云化部署中，关于HCI（Hyper-ConvergedInfrastructure，超融合基础设施）环境的特点，是不支持物理交换机镜像接入，同时也不支持类似VDS（VirtualDistributedSwitch，虚拟化分布式交换机）技术的镜像接入。因此，选项D描述的内容是正确的，而选项A“HCI环境下，STA支持物理交换机镜像流量接入”与这一特点相悖，是错误的。366.SIP:在SIP云化部署中SIP接收探针的日志使用哪个端口A.4488B.443C.4431D.4430正确答案:D解析：在SIP云化部署环境中，为了确保SIP接收探针的日志能够正确传输和接收，通常使用特定的端口。根据标准配置和实践，这个端口被设定为4430。367.SIP:SIP监管单位级联配置场景下,下列哪项是不正确的是?A.下级分支IP无冲突,需要与上级单位进行通信B.下级分支IP有冲突,需要与上级单位进行通信C.下级分支IP无冲突,不需要与上级单位进行通信D.当下级平台的IP与上级平台IP有冲突时(不匹配IP属性等信息,只匹配IP),以上级平台为准,安全事件还会上传正确答案:B解析：这道题考察的是SIP监管单位级联配置场景下的IP冲突问题。在SIP系统中，下级单位与上级单位进行通信时，IP地址的冲突是一个关键问题。通常，下级单位的IP地址需要与上级单位进行匹配，以确保通信的顺畅。如果下级分支的IP与上级单位有冲突，这会导致通信问题，因此选项B描述了一个不正确的场景。其他选项A、C、D均描述了合理的配置或冲突解决策略。368.SIP:关于SIP的集群,下列说法错误的是A.集群模式下只能登录主节点进行管理,从节节点无法登录管理B.集群主机修改系统时间跨度超过4小时需要重启所有节点,非集群不需要重启C.组件集群,子节点的配置会恢复默认配置配置和数据以主节点为准D.组建集群的所有主机系统时间差不能超过30分钟正确答案:B解析：在SIP集群中，从节点的管理权限与主节点相同，因此选项A错误。其他选项均符合SIP集群的特点和要求。369.SIP:SIP配置集群时,需要注意的事项中,下列哪个是错误的A.集群配置要求设备软件版本号需要一致B.集群配置要求所有的SIP设备管理IP需在同一网段内C.集群配置时要求探针的硬件型号一致D.集群配置要求设备硬件型号需要一致正确答案:C解析：在SIP配置集群时，存在一些关键的要求以确保集群的正常运行和性能。其中，设备软件版本号需要一致，这是为了确保集群中各个设备能够协同工作，避免因版本差异导致的兼容性问题。同时，所有的SIP设备管理IP需要在同一网段内，这是网络通信的基本要求，确保设备之间能够相互通信。此外，集群配置也要求设备硬件型号需要一致，这是为了保证集群的性能和稳定性，避免因硬件差异导致的性能瓶颈或故障。而选项C提到的“集群配置时要求探针的硬件型号一致”并不是SIP配置集群时的必要要求，因此是错误的。370.【SIP】SIEM做为SIP的一个组件使用，可以做到以下哪项？A.自动拉取需要的第三方设备日志。B.识别到网络流量中的威胁C.将第三方日志归一化D.纠正接入设备的安全日志误报正确答案:C解析：这道题考察的是对SIEM（安全信息和事件管理）作为SIP（安全信息和事件管理平台）组件功能的理解。SIEM的主要功能之一是整合和归一化来自不同来源的安全日志和事件，以便进行统一的分析和管理。选项A描述的是威胁检测功能，通常由其他安全组件如IDS/IPS提供。选项B提到的纠正安全日志误报，并非SIEM的直接功能，而是可能涉及日志分析和事件响应的过程。选项D描述的自动拉取第三方设备日志，虽然与日志管理相关，但更偏向于日志收集的技术实现，并非SIEM的核心功能。因此，根据SIEM的定义和功能，选项C“将第三方日志归一化”是最符合题意的答案。371.【SIP】SIP第三方日志源接入API接口支持哪种格式A.XMLB.JSONC.TEXTD.HTML正确答案:B解析：SIP第三方日志源接入API接口在实际应用中，通常基于数据传输和处理的效率、灵活性以及兼容性等方面的考虑，选择JSON格式。JSON格式具有良好的结构化、轻量级、易于阅读和解析的特点，能够有效地进行数据交互和处理。所以，答案选B。372.SIP:在Vmware环境中STA从SIP上更新规则库和版本需要开通哪个端口A.4488B.443C.4430D.4431正确答案:A解析：在Vmware环境中，STA（SecurityThreatAnalysis，安全威胁分析）从SIP（SecurityInformationandEventManagement，安全信息和事件管理）上更新规则库和版本时，需要开通的端口是4488。这一端口用于实现STA与SIP之间的通信和数据传输，从而确保规则库和版本的顺利更新。373.SIP:SIP级联需要开通如下哪个端口A.4430B.443C.7443D.4488正确答案:C解析：在SIP（SessionInitiationProtocol，会话初始协议）级联的配置中，需要开通特定的端口以实现通信。根据标准配置和实践经验，SIP级联所需的端口是7443。这一端口用于确保SIP消息能够安全、有效地在级联的设备之间传输。374.SIP:SIP级联同步给上级平台的事件类型中,下列哪项错误的A.已失陷B.低可疑C.高可疑D.弱密码正确答案:D解析：在SIP级联同步给上级平台的事件类型中，通常包括已失陷、低可疑和高可疑等安全事件类型，这些类型用于描述设备或系统的安全状态或潜在的威胁级别。而“弱密码”通常被视为一种安全风险或漏洞，但它并不直接作为一种事件类型被级联同步给上级平台。因此，选项D“弱密码”是错误的。375.【SIP】SIP和STA上架部署完成后，客户只允许SIP能联网，STA不能联网，是否影响检测效果？为什么？A.影响检测效果,STA的特征库无法更新。B.不影响检测效果,分析能力由SIP提供,STA没有特征库。C.不影响检测效果,STA只需要连接上SIP的TCP4488端口就能更新特征库。D.不影响检测效果,STA只需要连接上SIP的TCP4430端口就能更新特征库。正确答案:C解析：这道题考察的是对SIP和STA设备工作原理的理解。SIP（安全信息平台）和STA（安全威胁分析器）是安全检测系统中的两个组件。SIP负责提供分析能力，而STA作为客户端，依赖SIP进行威胁检测。关键在于理解STA如何更新其特征库。实际上，STA并不需要直接联网来更新特征库，它可以通过连接SIP的特定端口（TCP4488）来获取所需的更新。因此，即使客户设置只允许SIP联网，STA仍然可以通过SIP保持其特征库的更新，从而不影响检测效果。376.【SIP】当客户内网使用非标准的端口使用FTP服务时，是否可以检测到，如何修改配置？A.可以检测到,但需要在STA的安全策略、网站攻击检测中加入内网使用FTP的端口。B.不可以检测到,STA只支持使用标准端口的FTP服务。C.可以检测到,STA会自动识别出当前FTP服务使用的端口。D.可以检测到,需要在SIP上相应位置进行配置。正确答案:A解析：这道题考察的是对SIP（SecurityIncidentPrevention，安全事件预防）系统功能的理解。SIP系统用于检测和预防网络攻击，包括FTP服务的异常使用。对于非标准端口的FTP服务，SIP默认可能无法直接检测到，因为这需要特定的配置来识别。根据SIP的工作原理，要检测非标准端口的FTP服务，确实需要在STA（SecurityThreatAnalysis，安全威胁分析）的安全策略、网站攻击检测中加入对应的非标准端口配置。因此，选项A正确描述了这一过程和需求。377.【SIP】客户发现自己的mysql受到攻击，但SIP没有检测出来，以下可能的原因是？A.当前无法检测MYSQL的任何攻击。B.客户MYSQL使用了非标准端口(3306)而且未在STA加上客户使用的MYSQL端口。C.客户MYSQL使用了非标准端口(3306)而且未在SIP加上客户使用的MYSQL端口。D.用户未将MYSQL的版本信息录入到SIP,导致SIP检测不出来攻击。正确答案:B解析：这道题考察的是对SIP（安全信息与事件管理）系统及其配置的理解。SIP系统用于检测网络攻击，但其检测能力依赖于正确的配置，包括监控的端口和服务。MySQL默认端口是3306，但如果客户使用了非标准端口，且未在SIP系统中进行相应配置，SIP就无法检测到针对MySQL的攻击。选项A错误，因为SIP系统通常能够检测多种类型的攻击，包括针对MySQL的攻击，只要相关服务和端口被正确配置。选项B正确，指出了客户可能使用了非标准端口，并且未在STA（可能是指安全设备或系统的一个组件）上配置这个端口，导致SIP无法检测到攻击。选项C错误，因为虽然提到了非标准端口，但错误地提到了“未在SIP加上客户使用的MYSQL端口”，实际上应该是未在SIP中配置非标准端口，而不是简单地“加上”。选项D错误，因为SIP检测攻击通常不依赖于服务的具体版本信息，而是依赖于网络流量特征和服务行为模式。未录入版本信息通常不会导致SIP无法检测攻击。378.【SIP】以下哪个模块是通过机器学习，并建立访问基线对异常行为进行识别的？A.SIEM分析模块B.EBA行为画像C.威胁分析总览D.访问关系正确答案:B解析：这道题考察的是对【SIP】系统中各模块功能的理解。在【SIP】系统中，EBA行为画像模块是通过机器学习技术，建立访问基线并对异常行为进行识别的关键模块。SIEM分析模块主要负责安全信息和事件的管理，威胁分析总览提供威胁的整体视图，而访问关系模块则关注于访问权限和关系的管理。因此，根据题目描述的功能特点，正确答案是B。379.【SIP】客户的服务器区前端有负载均衡设备，无法识别出waf的攻击源IP，原因是？A.镜像了负载均衡与服务器之间的流量并开启SNAT功能。B.镜像了在负载均衡与服务器之间流量但没有开启xff字段识别。C.STA无法识别xff字段D.SIP无法识别xff字段正确答案:B解析：这道题考察的是对负载均衡环境下WAF（Web应用防火墙）无法识别攻击源IP的理解。在负载均衡场景下，客户端的真实IP通常会被负载均衡设备替换，如果WAF设备位于负载均衡设备之后，且没有开启xff字段识别，就无法获取到客户端的真实IP。选项B正确描述了这种情况，即镜像了在负载均衡与服务器之间的流量但没有开启xff字段识别，导致无法识别出攻击源的IP。380.【SIP】当在处置中心的安全事件为中危或低危时，通过以下哪个模块进行进一步的分析？A.访问分析B.资产感知分析C.分析中心分析D.日志中心分析正确答案:C解析：在【SIP】系统中，对于不同级别的安全事件，通常会有不同的处理模块进行应对。对于中危或低危的安全事件，通常不需要过于复杂的分析流程，因此通过"分析中心分析"模块进行进一步的分析是合理的选择。这个模块可能设计用来处理一些不那么严重但需要关注的事件，提供必要的分析工具和流程。所以，当在处置中心的安全事件为中危或低危时，通过"分析中心分析"模块进行进一步的分析是适当的。因此，选项C是正确的答案。381.【SIP】以基线画像的形式检测易于基线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为，SIP的哪个功能可以做到？A.SIEMB.SAVEC.UEBAD.kafka正确答案:C解析：这道题考察的是对SIP（安全信息和事件管理）相关功能的理解。SIP通过基线画像检测异常行为，并结合降维、聚类、决策树等模型来发现异常用户资产行为。根据SIP的功能描述，UEBA（用户和实体行为分析）正是专注于通过分析和学习用户行为模式来检测异常行为的功能模块。因此，C选项“UEBA”是正确答案。382.【SIP】客户内网划分了研发网段，公共系统服务器网段，市场网段等，客户想知道每个区域的情况和安全薄弱情况，建议使用SIP的哪个功能。A.分支B.安全域C.报告分析D.脆弱性感知正确答案:B解析：在客户内网划分了不同网段（如研发网段、公共系统服务器网段、市场网段等）的情况下，若客户想要了解每个区域的情况以及安全薄弱点，SIP（SecurityInformationandEventManagement，安全信息和事件管理）的“安全域”功能是最合适的选择。安全域功能能够帮助客户对不同网络区域进行划分和管理，进而分析和评估各区域的安全状况，识别存在的安全薄弱环节。383.【SIP】客户在发现内网存在勒索病毒后，接连可以发现被感染的主机，这里可以使用以下哪个功能查看每日新增的风险主机？A.处置中心-今日新增B.处置中心-反复感染C.处置中心-等级趋势D.处置中心-最近发现时间正确答案:A解析：这道题考察的是对网络安全管理平台功能的理解。在客户内网发现勒索病毒后，为了监控每日新增的被感染主机，需要找到相应的功能模块。根据SIP（安全信息管理平台）的常规功能设计，“处置中心”是处理安全事件的核心区域。其中，“今日新增”功能用于查看当天新发现的安全风险或受感染主机，符合题目要求。因此，A选项“处置中心-今日新增”是正确答案。384.【SIP】SIP解码小工具不能解码的有？A.url编码B.base64编码C.unicodeD.utf-8正确答案:D解析：SIP解码小工具主要用于解码特定格式的编码数据。在选项中，url编码、base64编码和unicode都是常见的编码格式，这些编码通常可以被SIP解码小工具处理。而utf-8是一种字符编码方式，并非专门用于编码特定数据的格式，因此SIP解码小工具通常不支持对utf-8编码进行解码。385.【SIP】安全感知平台采集数据日志，通过智能分析、深度挖掘对风险进行统一监测，并使用几种威胁的展示？A.1种B.2种C.3种D.4种正确答案:C解析：这道题考察的是对SIP（安全感知平台）功能的理解。SIP平台通过采集数据日志，进行智能分析和深度挖掘，实现对风险的统一监测。在这个过程中，平台会使用多种威胁的展示方式来帮助用户更好地理解和应对潜在的安全风险。具体来说，SIP平台通常会使用3种主要的威胁展示方式，以便用户能够全面、直观地了解安全状况。因此，正确答案是D。386.【SIP】在安全事件分析时，SIP可以对原始数据进行机器学习以及异常行为分析，发现传统判断机制难以发现的问题，不包括以下哪项？A.隐蔽通道检测B.绕过行为检测C.未知恶意文件D.跨站脚本正确答案:D解析：这道题考察的是SIP（安全信息与事件管理）在安全事件分析中的应用。SIP确实可以通过机器学习和异常行为分析来发现一些传统方法难以发现的问题。隐蔽通道检测、绕过行为检测以及未知恶意文件的识别都是SIP可以做到的。然而，跨站脚本（XSS）通常是通过Web应用的安全漏洞来攻击的，它更多是一个具体的攻击手段，而不是SIP通过机器学习和异常行为分析来发现的问题类型。因此，D选项是不包括在内的。387.【SIP】安全感知平安体从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建，来达成全面的检测体系，以下说法正确的是?A.脆弱性是事中事件B.内部异常是事中事件C.外部攻击是事中事件D.外部攻击是事前事件正确答案:C解析：在安全感知平安体（SIP）的实时监测能力构建中，对于脆弱性、外部攻击和内部异常这三大维度的界定是关键。脆弱性通常指的是系统本身存在的、可能被利用的弱点，它是一种静态的状态，因此不属于事中事件。内部异常指的是系统内部发生的、不符合正常行为模式的事件，它可能是在事前或事中发生的，但题目中并未具体指明其属于哪一阶段。外部攻击则是指来自系统外部的恶意行为，它在发生时即构成事中事件，因为攻击行为是在实际进行中被检测到的。因此，选项C“外部攻击是事中事件”是正确的。388.【SIP】用户在使用SIP时发现，有一些安全事件在日志检索中心查看到是攻击日志，有一些查看到确是正常的访问日志？以下哪个说法可以解释？A.STA识别到的日志包括安全检测日志和审计日志,都将上传到SIP,SIP根据这些日志,通过攻击模式,以及flow分析引擎,生成安全事件,所以在日志检索中查看到的日志会包括用户看到的两种情况。B.查看到日志检索为正常访问日志时说明SIP的安全事件是误报。C.需要进一步分析事件时,只能查看日志检索中心为攻击日志的事件。D.是探针的对日志定义的问题,不用关注日志为攻击日志或者正常访问日志。正确答案:A解析：这道题考察的是对SIP（SecurityIncidentPlatform，安全事件平台）工作原理的理解。SIP会接收来自STA（SecurityThreatAnalysis，安全威胁分析）的日志，这些日志包括安全检测日志和审计日志。SIP通过攻击模式和flow分析引擎处理这些日志，生成安全事件。因此，在日志检索中心看到的日志既可能包括攻击日志，也可能包括正常的访问日志，这是SIP正常工作的结果。选项A准确描述了这一过程。389.【SIP】客户发现最近邮件服务器存在异常，通过邮件威胁分析，不可以发现以下哪类安全事件？A.邮件撞库B.钓鱼邮件C.垃圾邮件D.病毒邮件正确答案:A解析：这道题考查对邮件威胁分析能发现的安全事件的了解。在邮件安全领域，钓鱼邮件、垃圾邮件和病毒邮件都有明显的特征和行为模式，通过威胁分析可被发现。而邮件撞库是通过尝试大量密码组合来获取权限，其特征在威胁分析中较难直接体现。所以这道题选A。390.【SIP】以下事件，不可以转为通报事件的是？A.安全事件B.辖区内攻击C.辖区外攻击D.漏洞隐患正确答案:C解析：在SIP（SecurityIncidentandProblemManagement，安全事件和问题管理）体系中，事件的分类和处理方式有明确的规范。通报事件通常指的是那些对组织安全有潜在影响，但尚未造成实际损害或影响较小的事件。对于不同类型的攻击或安全问题，其处理方式也会有所不同。391.【SIP】在SIP处置中心中有中危、低危都是不能100%确认存在安全问题，这时还需要通过哪个功能进行分析确认？A.分析中心B.监控中心C.大屏可视D.通报预警正确答案:A解析：在SIP处置中心中，当中危和低危情况无法100%确认存在安全问题时，需要借助分析中心功能进行更深入的分析和确认，以确保安全问题的准确识别和处理。392.【SIP】客户在运维SIP时，发现服务器外连有数据，不可以分析是否存在异常的是？A.业务是否需要与国外交互B.请求流量与响应流量比相差较大C.响应流量比正常情况要大非常多。D.连接中存在的攻击行为。正确答案:D解析：这道题考察的是对SIP运维中异常数据分析的理解。在运维SIP时，分析服务器外连数据是否存在异常，通常需要考虑业务需求、流量对比以及响应流量的变化。选项A考虑到了业务是否需要与国外交互，这是判断数据是否正常的重要依据；选项B和C都涉及到了流量的对比，包括请求与响应流量的比例以及响应流量的大小，这些都是分析数据是否异常的关键指标。而选项D提到的“连接中存在的攻击行为”，虽然是一个安全问题，但它并不直接用于分析数据是否存在异常，因为攻击行为的存在并不直接说明数据异常，数据异常需要通过对比和分析来确定。因此，选项D是不能直接用来分析数据是否存在异常的。393.【SIP】当前客户的一台服务器发现出现C&C安全事件，变了已失陷了，可以通过哪个位置查看已失陷的开始时间A.等级趋势B.攻击阶段分布C.安全事件的最近发现时间D.攻击入口溯源正确答案:A解析：在处理安全事件时，尤其是C&C（CommandandControl）安全事件，了解和跟踪事件的整个过程至关重要。在安全事件的描述和记录中，可能会提供多种信息和工具来帮助调查和分析。A选项（等级趋势）在安全事件的情境下，指的是从更高角度看待安全事件的严重性或频率变化。这类趋势图通常提供一些关键的指示点，如攻击发生的具体时间（如攻击成功时间或初始被攻击时间）。因此，在提供的选项中，为了找到已失陷的服务器开始失陷的时间点，等级趋势通常是相关的参考依据。因此，正确答案是A。但需要注意的是，具体的实现和展示可能因不同的安全系统或工具而异。所以，实际操作中可能还需要参考具体的系统或工具的文档或界面来找到确切的失陷时间。394.SIP:当安全感知平台检测到主机存在对外网的隐秘通信时,可以说明的是?A.主机一定被横向攻击了成功了B.主机一定被外部攻击成功了C.主机存在安全隐患D.一定可以使用杀软查杀。正确答案:C解析：这道题考察的是对网络安全事件的理解。SIP即安全感知平台，用于监控网络中的异常行为。当SIP检测到主机存在对外网的隐秘通信时，这表明主机可能在进行未经授权或异常的网络活动，但并不能直接断定主机被横向攻击或外部攻击成功，也不能确定一定可以使用杀毒软件进行查杀。因此，最合理的结论是主机存在安全隐患。395.【SIP】客户发现服务器上有普通帐号提权的操作，以下哪个方法，可以通过SIP查看到。A.在服务器上安装EDR,将EDR的日志接入到SIP,可以在SIP上查看到提权操作。B.通过镜像服务器流量到STA,STA上传日志到SIP可以审计到提权操作。C.选择两U的SIP,并接入服务器的WMI或SYSLOG日志,可以在SIP上查看到提权操作。D.将服务器的日志,手动导入到SIP进行分析,识别出提权操作。正确答案:C解析：这道题考察的是对SIP（安全信息和事件管理）系统及其日志接入方式的理解。SIP系统用于收集、分析安全日志，以检测安全事件。选项A提到的EDR（端点检测和响应）虽然可以检测提权操作，但题目问的是通过SIP查看，而EDR日志接入SIP并非直接查看提权操作的标准方法，故A不是最佳答案。选项B中的STA（安全威胁分析）用于流量分析，虽然可以审计到某些安全事件，但题目特指服务器上的提权操作，且STA上传日志到SIP并非直接查看此类操作的方法，故B不是正确答案。选项C指出，通过接入服务器的WMI（Windows管理规范）或SYSLOG日志到SIP，可以直接在SIP上查看到提权操作。这是符合SIP系统日志接入和事件检测的标准做法，因此C是正确答案。选项D提到手动导入服务器日志到SIP进行分析，虽然理论上可行，但不是通过SIP直接查看提权操作的常规方法，故D不是最佳答案。综上所述，正确答案是C，因为它直接关联到SIP系统如何通过接入特定日志来查看服务器上的提权操作。396.【SIP】外部威胁属于哪类攻击事件A.事中B.事后C.事前D.APT正确答案:C解析：在信息安全领域，攻击事件可以根据其发生的时间点相对于实际攻击行为的关系进行分类。事前攻击事件指的是那些在实际攻击发生之前就已经存在或可以被检测到的威胁，这些威胁通常用于为后续的攻击行为做准备或创造条件。[SIP]外部威胁正是指这种在攻击实际发生前就已经存在的威胁，因此它属于事前攻击事件。397.【SIP】在客户网络梳理中，客户想知道IP1有没有访问IP2可以通过以下哪个功能快速监控到？A.威胁分析B.外连分析C.横向访问D.访问控制核查正确答案:D解析：在客户网络梳理中，访问控制核查功能用于检查和监控网络中的访问行为，包括特定的IP地址之间的访问。通过访问控制核查，可以快速确定IP1是否有访问IP2的记录或行为，从而满足客户的监控需求。398.【SIP】SIP需要记录访问日志以下配置不需要的是A.探针开启高级模式。B.违规访问中的“默认策略”开启日志记录。C.平台开启行为日志分析。D.平台开启分析日志正确答案:D解析：在配置SIP（SessionInitiationProtocol，会话初始协议）系统以记录访问日志时，主要关注的是对访问行为的记录和监控。399.[AF]关于AF中NAT64转换的方式中，以下说法正确的时？A.NAT64是一种无状态的网络地址与协议转换技术,在配置NAT64时需要做双向配置。B.在AF的NAT64转换中,AF只会将数据包中的源IP地址都进行NAT64转换C.在AF的NAT64转换中,AF会将数据包中的源/目的IP地址同时进行NAT64转换D.在AF的NAT64转换中,AF只会将数据包中的目的IP地址都进行NAT64转换正确答案:C解析：这道题考察的是对AF中NAT64转换方式的理解。在NAT64转换过程中，AF（AddressFamily）确实会同时对数据包中的源IP地址和目的IP地址进行转换，这是为了确保IPv6和IPv4网络之间的通信能够顺利进行。因此，选项A“在AF的NAT64转换中，AF会将数据包中的源/目的IP地址同时进行NAT64转换”是正确的。其他选项B、C、D的描述都与NAT64的实际工作方式不符。400.[AF]以下关于AF做DNS代理/DNS透明代理时客户端的DNS设置说法错误的是?A.DNS代理需要客户端设置DNS为AF接口IPB.DNS透明代理不需要客户端设置DNS为AF接口IPC.DNS透明代理需要客户端设置DNS为AF接口IPD.使用AFDNS透明代理场景,内网用户在不清楚DNS服务器地址的情况下,客户端可以设置任意DNS地址。正确答案:C解析：在AF做DNS代理时，客户端需要将DNS设置为AF接口IP，以便通过AF进行DNS查询。而在DNS透明代理模式下，客户端无需将DNS设置为AF接口IP，这是因为透明代理会在网络层面拦截并转发DNS请求，而不需要客户端进行特定的配置。因此，选项C“DNS透明代理需要客户端设置DNS为AF接口IP”是错误的描述。同时，使用AFDNS透明代理时，即使内网用户不清楚具体的DNS服务器地址，也可以设置任意DNS地址，因为透明代理会处理这些请求。401.[AF]关于AF中IPv6技术，以下说法错误的是？A.AF中启用IPv4/IPv6双协议战时会导致设备重启[考试该项错误]B.AF中IPv6的地址转换只能进行一对一转换,不能进行多对一转换C.AF中在进行IPv6源地址转换时,统一转换成对应的外网接口的IP地址D.AF中可使用NAT64的功能,实现IPv4与IPv6之间的互联转换正确答案:C解析：这道题考察的是对AF中IPv6技术的理解。首先，我们知道在AF中启用IPv4/IPv6双协议栈通常不会导致设备重启，所以A选项描述是错误的，但题目问的是哪个说法错误，A不是答案。接着，IPv6的地址转换确实主要是一对一转换，不支持多对一转换，B选项描述正确。然后，关于C选项，AF中进行IPv6源地址转换时，并不是统一转换成对应的外网接口的IP地址，而是根据配置的策略进行转换，所以C选项描述错误，是题目的答案。最后，AF中确实可以使用NAT64功能实现IPv4与IPv6之间的互联转换，D选项描述正确。综上所述，错误的说法是C选项。402.[AF]IPv6中的IP地址的长度为：A.32B.96C.128D.64正确答案:C解析：IPv6（InternetProtocolversion6）是互联网协议的第六版，其设计初衷是解决IPv4地址耗尽的问题，并提供更好的安全性和其他改进。IPv6中的IP地址长度从IPv4的32位增加到128位，这一变化极大地扩展了可用的地址空间，确保了未来互联网的可持续发展。因此，IPv6中的IP地址长度为128位，对应选项D。403.[AF]以下关于AF做DNS代理/DNS透明代理时的端口作用说法错误的是？A.DNS透明代理使用的端口是TCP5354端口B.UDP53端口用于做DNS解析C.TCP53端口用于做DNS解析D.TCP53端口用来做DNS服务器区域间传送正确答案:C解析：这道题考察的是对DNS代理，特别是AF做DNS透明代理时端口作用的理解。在DNS系统中，UDP53端口确实用于DNS解析，而TCP53端口则用于DNS服务器之间的区域传送。DNS透明代理通常不会使用TCP5354端口，这不是一个标准的DNS端口。因此，选项C中的说法“TCP53端口用于做DNS解析”是错误的。404.[AF]HTTP协议的头部字段，目前默认不支持直接做sql注入检测的是（）A.User-AgentB.HostC.Accept-EncodingD.Referer正确答案:C解析：Accept-Encoding头部字段用于指定客户端可以接受的媒体类型编码，例如gzip、deflate等。由于其功能特性，它通常不会直接用于SQL查询，因此默认不支持直接对其进行SQL注入检测。相比之下，其他头部字段如User-Agent、Referer可能包含用户输入的数据，若处理不当，这些数据有可能成为S