第十二章
请参见图示。网络安全分析师正在使用 Wireshark 中的 Follow TCP 流功能重建 TCP 事务。但是,事务数据似乎难以辨认。对此的解释是什么?
事务数据是二进制文件。
请参见图示。网络安全专家发出命令 tcpdump,以捕获事件。命令中使用的 & 符号提供的功能是什么?
通知 Linux shell 在后台执行 tcpdump 进程。
分析师会使用下列哪种工具开始工作流程调查?
Sguil
下列哪项工具是 Security Onion 集成的基于主机的入侵检测系统?
OSSEC
下列哪类数据支持基于先前所获取证据的断言?
补强证据
律师事务所使用 Linux 主机作为网络防火墙设备。IT 管理员正向防火墙 iptables 中添加一条规则,以阻止内部主机连接至具有 209.165.202.133 IP 地址的远程设备。管理员应使用下列哪一命令?
iptables -I FORWARD -p tcp -d 209.165.202.133 --dport 7777 -j DROP
该正则表达式将与哪两个字符串相匹配?(选择两项。) Level[^12]
Level3 & Level4
威胁发起者已成功地突破网络防火墙,而未被 IDS 系统检测到。下列哪一情况描述的是缺乏警报?
漏报
请参见图示。网络安全分析师使用 Sguil 验证安全警报。当前视图如何排序?
按频率
根据 NIST,电子取证过程中的哪一步涉及从数据中提取相关信息?
检查
请参见图示。网络安全分析师正在使用 Wireshark 检查已捕获的数据。捕获的帧表示主机正从服务器下载恶意软件。主机使用下列哪一源端口请求下载?
48598
文件散列值如何有助于网络安全调查?
它有助于识别恶意软件签名。
在 Sguil 中,下列哪三项程序可供安全分析师用于解决警报?(选择三项。)
解除误报 。 & 上报不确定警报。 & 对正确恶意检测进行分类。
Security Onion 提供的三项核心功能是什么?(选择三项。)
完整数据包捕获 & 入侵检测 & 警报分析
可从 NSM 收集的数据中消除哪两种不可读网络流量?(选择两项。)
SSL 流量 & IPsec 流量
下列哪项陈述正确描述 Security Onion 虚拟机启动后的状态?
Snort 默认启用。
下列哪项陈述正确描述 Linux 中的时间戳功能?
使用 Unix Epoch 时间戳进行加法和减法操作更容易。
应用程序如何与操作系统进行交互?
进行 API 调用
在电子取证中应避免下列哪一程序?
到达后重新启动受影响系统。
3464 以下的 Snort 签名 ID 表示什么?
SID 由 Sourcefire 创建,并按照 GPL 协议发分。
下列哪项工具具有直接与企业日志搜索和存档 (ELSA) 搜索功能相关联的警报记录?
Sguil
下列哪一术语用于描述将日志条目转换为通用格式的过程?
规范化
下列哪项工具由思科开发,并提供交互式控制面板,从而允许调查威胁形势?
Talos
下列哪一工具包含在 Snort 使用的 Security Onion 中,以自动下载新规则?
PulledPork
