思科 300-215 CBRFIR 考試問題和答案

問題 #1

在一次安全漏洞事件後，一個安全團隊正在討論吸取的經驗教訓並提出流程變更建議。事件發生期間，由於項目工作量大，安全團隊成員未能報告異常系統活動。此外，當事件被確認後，由於管理層無法提供所需的批准，響應時間長達六個小時。哪兩個步驟可以防止今後發生這些問題？(選擇兩項）。

A. 引入事件響應工作負載的優先級。

B. 爲填充安全團隊提供網絡釣魚意識培訓。

C. ��事件響應工作流程進行風險審計。

D. ��定執行團隊授權計劃

E. 利用升級觸發器自動設定安全警報時限。

查看答案

正確答案: AE

問題 #2

一名工程師正在調查來自會計部門的一份報告，其中一名用戶在其工作站上發現了一個意想不到的應用程序。入侵檢測系統發出了幾條警報，顯示該工作站有未知的外向互聯網流量。工程師還發現處理能力下降，這使得分析過程變得複雜。工程師應採取哪兩項措施？(選擇兩項）。

A. ��原到系統恢復點

B. 更換故障 CPU

C. ��開網絡連接

D. 格式化工作站驅動器

E. 繪製工作站圖像。

查看答案

正確答案: AE

問題 #3

請參閱展品。工程師應從 Wireshark 捕獲的可疑網絡流量中確定什麼？

A. �� SYN 泛洪攻擊的跡象，工程師應增加積壓，回收最老的半開 TCP 連接。

B. ��畸形數據包攻擊的跡象，工程師應限制數據包大小並設置字節閾值作爲對策。

C. �� DNS 攻擊的跡象，工程師應隱藏 BIND 版本並限制區域傳輸，以此作爲對策。

D. �� ARP 欺騙的跡象，工程師應使用靜態 ARP 條目和 IP 地址到 MAC 地址映射作爲對策。

查看答案

正確答案: A

問題 #4

請參閱展品。一名網絡工程師正在分析 Wireshark 文件，以確定導致下載初始 Ursnif 銀行木馬二進制文件的 HTTP 請求。該工程師應用了哪個過濾器對 Wireshark 流量日誌進行排序？

A. ttp

B. ls

C. cp

D. cp

查看答案

正確答案: B

問題 #5

事件響應團隊在分析了最近的一次入侵事件後提出了修改建議，該事件涉及大量事件和日誌；團隊成員無法識別異常行爲並及時上報；由於檢測延遲，多個網絡系統受到影響；安全工程師能夠減輕威脅並使系統恢復穩定；不久後，問題再次發生，系統再次變得不穩定，原因是系統漏洞。

A. ��式確定報告要求和責任，以便在整個事件處理過程中有效地向管理層和內部利益相關者提供最新信息。

B. ��進緩解階段，確保能夠快速查明原因，並使系統恢復正常運行。

C. ��施自動化操作，提取系統事件/日誌，並將其納入組織範圍。

D. ��遏制階段分配更多資源，及時穩定系統並縮小攻擊範圍。

E. ��改事件處理手冊和清單，確保在事件發生前就角色、責任和步驟達成一致。

查看答案

正確答案: CE

問題 #6

objdump 行命令 objdump ""b oasys ""m vax ""h fu.o 中的"-h "選項爲對象文件提供了哪些信息？

A. bfdname

B. 調試

C. 幫助

D. 標頭

查看答案

正確答案: D

問題 #7

一名威脅行爲者試圖通過將數據轉化爲向右移動數字四次的代碼來躲避檢測。使用的是哪種反取證技術？

A. 加密

B. 隧道

C. 混淆

D. 中毒

查看答案

正確答案: C

問題 #8

哪種技術可通過在獨立實時操作的地址空間中執行任意代碼來逃避安全產品的檢測？

A. 工藝注入

B. 權限升級

C. ��改 GPO

D. 代幣操縱

查看答案

正確答案: A

問題 #9

哪個神奇字節表示分析的文件是 pdf 文件？

A. cGRmZmlsZQ

B. 06466666

C. 55044462d

D. a0ah4cg

查看答案

正確答案: C

問題 #10

一名工程師接到電話，要求協助處理正在發生的 DDoS 攻擊。Apache 服務器成爲攻擊目標，可用性受到影響。應採取哪一步來確定威脅的來源？

A. ��程師應運行命令 $ who | cut ""d"?"? -f1| 排序 | uniq

B. ��程師應運行 ps -aux 和 sudo ps -a 命令檢查服務器進程。

C. ��程師應運行命令 service -status-all 檢查計算機上的服務。

D. ��程師應使用 sudo tail -100 /var/log/apache2/access

查看答案

正確答案: D

問題 #11

01.什麼是隱寫術反取證技術？

A. ��文件的未使用區域隱藏惡意文件的行動

B. ��惡意文件的文件頭更改爲其他文件類型

C. 通過封裝在公共網絡上發送惡意文件

D. ��不尋常或不值得懷疑的地方隱藏惡意文件

查看答案

正確答案: D

問題 #12

02.安全團隊檢測到來自不明發件人的入站 tcp/135 連接嘗試超過平均水平。安全團隊正根據事件響應手冊採取應對措施。

A. ��惡意軟件

B. ataandworkloadisolati

C. 集中管理

D. ��侵防禦系統

查看答案

正確答案: CD

問題 #13

03.一名工程師接到電話，要求協助處理正在發生的 DDoS 攻擊。Apache 服務器成爲攻擊目標，可用性受到影響。應採取哪一步來確定威脅的來源？

A. 高成本：雲服務提供商通常會爲允許雲取證收取高額費用。

B. ��置：實施安全分區和正確的網絡分區。

C.

D. ��租戶：收集證據時必須避免暴露其他租戶的數據。

查看答案

正確答案: B

問題 #14

04.在公共雲環境中收集取證證據需要注意什麼？

A. idsperformingstaticmalwareanalysi

B. 輔助查看和更改運行狀態

C. 幫助將符號語言轉換爲機器碼

D. ��助確定計劃執行中的斷點

查看答案

正確答案: D

問題 #15

05.一個安全團隊收到了用戶 Internet 瀏覽器上可疑活動的警報。用戶的反病毒軟件顯示，該文件試圖創建一個虛假的回收站文件夾並連接到一個外部 IP 地址。

A. fdname

B. ebuggi

C. eade

D. ��助

查看答案

正確答案: BC

問題 #16

06.反匯編器的功能是什麼？

A. 注射過程

B. ��權

C. POmodificati

D. okenmanipulati

查看答案

正確答案: A

問題 #17

07.在 objdump 行命令 objdump –b oasys –m vax –h fu.o 中，“-h”選項提供了對象文件的哪些信息？

A. 特權

B. nternalusere

C. aliciousinside

D. ��部過濾

查看答案

正確答案: C

問題 #18

請參閱展品：從 Apache 日誌中可以確定什麼？

A. ��立 SSL 連接需要一個名爲 mod_ssl 的模塊。

B. ��鑰與 SSL 證書不匹配

C. ��書文件被惡意修改

D. SL流量設置不當

查看答案

正確答案: D

問題 #19

YARA 規則的依據是什麼？

A. ��進制模式

B. TML代碼

C. ��絡人工製品

D. IP 地址

查看答案

正確答案: A

問題 #20

請參閱展品。根據 Wireshark 的輸出，檢測 Emotet 惡意軟件下載的兩個妥協指標是什麼？(請選擇兩個）。

A. omain name

B. 服務器：nginx

C. ��希值5f31ab113af08=1597090577

D. ilename= ''Fy

E. ontent-Type

查看答案

正確答案: CE

問題 #21

一名員工注意到其工作站上出現了意外更改和設置修改，並創建了一個事件票據。支持專家檢查了流程和服務，但未發現任何可疑情況。該票據被升級到分析員，分析員查看了該事件日誌，還發現該工作站在網絡共享上有多個大型數據轉儲。應從這些信息中確定什麼？

A. 數據混淆

B. ��察攻擊

C. ��力破解攻擊

D. 日誌篡改

查看答案

正確答案: B

問題 #22

一家只使用 Unix 平臺的公司安裝了入侵檢測系統。初始配置完成後，警報數量過多，工程師需要對警報進行分析和分類。如圖所示，從籤名中生成的警報數量最多。工程師應該爲該事件指定哪種分類？

A. ��正的消極警報

B. 假陰性警報

C. ��陽性警報

D. ��陽性警報

查看答案

正確答案: C

問題 #23

在一次安全漏洞事件後，一個安全團隊正在討論吸取的經驗教訓並提出流程變更建議。事件發生期間，由於項目工作量大，安全團隊成員未能報告異常系統活動。此外，當事件被確認後，由於管理層無法提供所需的批准，響應時間長達六個小時。哪兩個步驟可以防止今後發生這些問題？(選擇兩項）。

A. �� SYN 泛洪攻擊的跡象，工程師應增加積壓，回收最老的半開 TCP 連接。

B. ��畸形數據包攻擊的跡象，工程師應限制數據包大小並設置字節閾值作爲對策。

C. �� DNS 攻擊的跡象，工程師應隱藏 BIND 版本並限制區域傳輸，以此作爲對策。

D. �� ARP 欺騙的跡象，工程師應使用靜態 ARP 條目和 IP 地址到 MAC 地址映射作爲對策。

查看答案

正確答案: AE

問題 #24

一名工程師正在調查來自會計部門的一份報告，其中一名用戶在其工作站上發現了一個意想不到的應用程序。入侵檢測系統發出了幾條警報，顯示該工作站有未知的外向互聯網流量。工程師還發現處理能力下降，這使得分析過程變得複雜。工程師應採取哪兩項措施？(選擇兩項）。

A. ttp

B. ls

C. cp

D. cp

查看答案

正確答案: AE

問題 #25

在公共雲環境中收集取證證據需要注意什麼？

A. ��本高：雲服務提供商通常會爲允許雲取證收取高額費用。

B. 配置：實施安全區域和適當的網絡分段。

C. ��時性：從雲服務提供商處收集取證證據通常需要大量時間。

D. ��租戶：證據收集必須避免暴露其他租戶的數據。

查看答案

正確答案: D

問題 #26

什麼是轉換反取證技術？

A. ��惡意文件的一部分隱藏在文件的未使用區域中

B. ��過封裝在公共網絡上發送惡意文件

C. ��惡意文件隱藏在普通或不引人注意的地方

D. ��惡意文件的文件頭改爲其他文件類型

查看答案

正確答案: D

問題 #27

什麼是隱寫術反取證技術？

A. ��惡意文件的一部分隱藏在文件的未使用區域中

B. ��惡意文件的文件頭改爲其他文件類型

C. ��過封裝在公共網絡上發送惡意文件

D. ��惡意文件隱藏在普通或不引人注意的地方

查看答案

正確答案: A

問題 #28

一個安全小組收到報告，稱多個文件在用戶工作站上引起可疑活動。文件試圖訪問集中文件服務器中的高度機密信息。安全分析員應採取哪兩種措施在沙箱中評估該文件？

A. 刪除帶有附件的可疑電子郵件，因爲該文件只是一個快捷擴展名，不代表任何威脅。

B. 將文件上傳到病毒檢查引擎，與知名病毒進行比較，因爲該文件是僞裝成合法擴展名的病毒。

C. ��端點殺毒解決方案中隔離該文件，因爲該文件是一個勒索軟件，會加密受害者的文件。

D. ��沙箱環境中打開文件，進行進一步的行爲分析，因爲該文件包含一個在執行時會運行的惡意腳本。

查看答案

正確答案: BC

問題 #29

請參閱示例。一名工程師正在分析最近作爲電子郵件附件收到的 .LNK（快捷方式）文件，該文件被電子郵件安全攔截爲可疑文件。工程師下一步應採取什麼措施？

A. ��騙

B. ��淆

C. ��道

D. ��寫術

查看答案

正確答案: D

問題 #30

哪種工具可以進行內存分析？

A. emDump

B. ysinternals自動運行程序

C. 波動性

D. emoryze

查看答案

正確答案: C

問題 #31

請參考展品。STIX JSON 代碼段中的 IOC 威脅和 URL 是什麼？

A. alware; 'http://x4z9arb

B. 惡意軟件；x4z9arb 後門

C. 4z9arb 後門; http://x4z9arb

D. alware; malware--162d917e-766f-4611-b5d6-652791454fca

E. tix; 'http://x4z9arb

查看答案

正確答案: D

問題 #32

請參考展品。使用的是哪種代碼？

A. hell

B. BScript

C. ASH

D. ython

查看答案

正確答案: D

問題 #33

反匯編器的功能是什麼？

A. 輔助執行靜態惡意軟件分析

B. 幫助查看和更改運行狀態

C. ids 將符號語言轉換爲機器碼

D. ��助定義程序執行中的斷點

查看答案

正確答案: A

問題 #34

ESXi 主機在身份驗證過程中出現 "未知錯誤代碼"。工程師檢查了身份驗證日誌，但無法確定問題所在。對 vCenter 代理日誌的分析表明沒有連接錯誤。要繼續排除此錯誤的故障，工程師應檢查下一個日誌文件是什麼？

A. var/log/syslog

B. var/log/vmksummary

C. ar/log/shell

D. ar/log/general/log

查看答案

正確答案: A

問題 #35

在過去一年中，某組織的人力資源部門在每月最後一天訪問法律部門的數據，以創建月度活動報告。一名工程師正在分析威脅情報平臺發出的可疑活動警報，即人力資源部門的一名授權用戶在上周每天都訪問法律數據。工程師從法律部門的共享文件夾中調出網絡數據，發現數據轉儲超過平均大小。這些數據轉儲暗示了哪個威脅行爲者

A. ��限升級

B. 內部用戶錯誤

C. ��意內線

D. ��部滲透

查看答案

正確答案: C

問題 #36

某網站管理員每晚都要運行 FTP 會話，將文件下載並解壓到本地暫存服務器。下載包括數千個文件，而查找有多少文件下載失敗的手動過程非常耗時。管理員正在編寫一個 PowerShell 腳本，該腳本將解析日誌文件，並總結有多少文件下載成功，有多少文件下載失敗。該腳本將一行一行地讀取文件內容，並返回一個集合

A. et-Content-Folder \\\\Server\\FTPFolder\\Logfiles\ftpfiles

B. et-Content -ifmatch \\\\Server\\FTPFolder\\Logfiles\ftpfiles

C. et-Content -Directory \\\\Server\\FTPFolder\\Logfiles\ftpfiles

D. et-Content -Path \\\\Server\\FTPFolder\\Logfiles\ftpfiles

查看答案

正確答案: D

問題 #37

請參閱展品。在收到一封帶有 URL 的可疑電子郵件後，工程師正在 Wireshark 中分析 TCP 流。應如何確定該數據流中的 SMB 流量？

A. 重定向到惡意釣魚網站、

B. ��在利用重定向漏洞

C. ��請求在用戶網站上進行身份驗證。

D. ��是共享文件和打印機的訪問權限。

查看答案

正確答案: B

問題 #38

事件響應計劃的目標是什麼？

A. 識別組織中的關鍵系統和資源

B. 確保系統到位以防止攻擊

C. ��定安全弱點並提出解決方案

D. ��制攻擊並防止其擴散

查看答案

正確答案: D

問題 #39

一個安全小組收到用戶互聯網瀏覽器上可疑活動的警報。用戶的防病毒軟件顯示，該文件試圖創建一個虛假的回收站文件夾並連接到一個外部 IP 地址。安全分析員應採取哪兩項措施對可執行文件進行進一步分析？(選擇兩項）。

A. 向受害者發送釣魚郵件

B. SIEM 發出警報

C. ��子郵件標題中的信息

D. ��絡安全小組確定的警報

查看答案

正確答案: BC

問題 #40

請參閱展品。應根據 Apache 訪問日誌對攻擊做出哪兩個判斷？

A. P 地址 202

B. ontent-Type: multipart/mixed

C. ��件"卡-退款"

D. ubject："服務信用卡

查看答案

正確答案: CD

問題 #41

攻擊者在某組織法律部門用戶打開的文字處理文件中嵌入了一個宏。攻擊者利用這種技術獲取機密財務數據。安全專家應提出哪兩項建議來減少此類攻擊？(選擇兩項）。

A. 統一碼

B. ��進制

C. ase64

D. 字符編碼

查看答案

正確答案: AC

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取

思科 300-215 CBRFIR 考試問題和答案 | 在線示例問題

提交後看答案

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！ 立即獲取

思科 300-215 CBRFIR 考試問題和答案 | 在線示例問題

提交後看答案

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取