网络安全事件溯源工程师考试试卷及答案

网络安全事件溯源工程师考试试卷及答案一、填空题（每题1分，共10分）1.SIEM的中文全称是__________。2.Windows系统中记录安全事件的核心日志是__________日志。3.MD5哈希算法的输出长度为__________位。4.网络安全事件溯源的第一步是__________。5.威胁情报平台的常见缩写是__________。6.Windows事件ID__________代表账户登录失败。7.Linux认证日志默认存储在__________目录下的auth.log中。8.溯源中常见的网络日志类型包括防火墙日志、DNS日志和__________日志。9.常用加密隧道协议之一是__________（如IPsec）。10.数字取证证据保管链的英文是__________。二、单项选择题（每题2分，共20分）1.以下属于网络流量分析工具的是？A.WiresharkB.ExcelC.NotepadD.Word2.Windows事件ID4624代表什么？A.登录失败B.登录成功C.账户锁定D.密码修改3.溯源中不属于核心证据的是？A.系统日志B.用户个人相册C.网络流量D.端点进程4.威胁狩猎的核心目标是？A.检测已知威胁B.发现未知威胁C.修复漏洞D.备份数据5.安全性最高的哈希算法是？A.MD5B.SHA-1C.SHA-256D.CRC326.Linux查看实时进程的命令是？A.lsB.psauxC.catD.cd7.校验日志完整性的常用方法是？A.人工核对B.哈希计算C.时间戳对比D.格式检查8.属于EDR工具的是？A.CrowdStrikeB.WiresharkC.SnortD.Nmap9.溯源第一步操作是？A.收集所有日志B.隔离资产C.确认事件真实性D.分析攻击路径10.IOC的中文全称是？A.威胁指标B.妥协指标C.攻击向量D.漏洞情报三、多项选择题（每题2分，共20分）1.溯源常见系统日志包括？A.Windows安全日志B.LinuxsyslogC.数据库操作日志D.打印机日志2.威胁溯源核心步骤包括？A.资产识别B.日志整合C.行为分析D.证据固定3.网络流量分析需关注的字段有？A.源/目的IPB.源/目的端口C.协议类型D.数据大小4.数字取证基本原则包括？A.完整性B.真实性C.保密性D.可追溯性5.常见EDR工具包括？A.CrowdStrikeB.SentinelOneC.360EDRD.Snort6.溯源需收集的端点信息包括？A.进程列表B.注册表项C.文件哈希D.网络连接7.威胁情报来源包括？A.MITREATT&CKB.商业平台C.内部数据D.合作伙伴共享8.Windows需重点关注的日志有？A.安全日志B.系统日志C.应用程序日志D.IIS日志9.Linux溯源日志文件包括？A./var/log/auth.logB./var/log/syslogC./var/log/messagesD./var/log/secure10.常见攻击溯源向量包括？A.钓鱼邮件B.RCE漏洞C.弱口令D.恶意USB四、判断题（每题2分，共20分）1.SIEM仅能收集Windows日志。（×）2.MD5哈希无碰撞风险。（×）3.Windows4624代表登录成功。（√）4.Linuxauth.log记录认证事件。（√）5.溯源无需关注时间同步。（×）6.威胁狩猎是主动探查未知威胁。（√）7.EDR仅能检测已知威胁。（×）8.证据保管链需记录流转信息。（√）9.端口135对应WindowsRPC服务。（√）10.溯源优先收集终端日志。（×）五、简答题（每题5分，共20分）1.简述溯源基本流程。答案：①事件确认：通过告警验证事件真实性；②范围界定：明确受影响资产、时间及影响；③日志收集：整合系统、网络、端点日志；④行为分析：关联日志还原攻击路径（入口、横向移动、数据窃取）；⑤证据固定：哈希校验完整性，生成报告。2.列举3个Windows安全事件ID及含义。答案：①4624：账户成功登录（含源IP、登录类型）；②4625：登录失败（含失败原因）；③4720：新账户创建（含创建者）；④4738：账户权限变更（含密码重置）。（答3个即可）3.哈希算法在溯源中的作用。答案：①完整性校验：计算日志/文件哈希，确保未篡改；②恶意文件识别：对比威胁情报哈希定位恶意文件；③关联分析：不同日志哈希关联同一事件，还原攻击链。4.威胁狩猎与溯源的区别。答案：①目标：狩猎找未知威胁，溯源还原已知事件；②时机：狩猎事前预防，溯源事后响应；③方法：狩猎主动探查，溯源依赖已有证据；④输出：狩猎输出潜在威胁，溯源输出攻击路径及归因。六、讨论题（每题5分，共10分）1.发现服务器被入侵后如何开展溯源？答案：首先隔离受影响服务器（避免二次攻击），确认事件真实性；其次收集关键日志：服务器系统日志（Windows安全/系统日志、Linuxauth.log）、网络日志（防火墙、DNS、流量日志）、端点日志（EDR进程/连接）；然后分析攻击入口（弱口令爆破、漏洞利用）、横向移动（远程连接记录）、数据窃取（文件传输日志）；最后哈希校验证据完整性，生成溯源报告。2.如何确保溯源证据具有法律效力？答案：①证据保管链：记录收集人、时间、地点及流转过程；②完整性校验：用SHA-256计算哈希，对比原始值；③合法收集：符合企业合规及法律规定（不侵犯隐私）；④第三方见证：关键证据请公证人员见证；⑤原始保存：不修改原始日志，仅用副本分析。答案汇总一、填空题1.安全信息和事件管理系统2.安全3.1284.事件确认5.威胁情报平台（TIP）6.46257./var/log8.网络流量9.IPsec（或OpenVPN）10.ChainofCustody二、单项选择题1.A2.B3