深信服L1-（XDR）認證備考題庫及答案

PAGEPAGE1深信服L1-（XDR）認證備考題庫及答案一、單選題1.關于SaaSXDR場景化測試流程，正確的是A、初步判斷與溝通與客戶正式溝通組件部署/升級并接入XDR平臺與客戶進行正式匯報驗證測試目標是否達成XDR測試賬號下線B、初步判斷與溝通與客戶正式溝通與客戶進行正式匯報驗證測試目標是否達成組件部署/升級并接入XDR平臺XDR測試賬號下線C、初步判斷與溝通組件部署/升級并接入XDR平臺驗證測試目標是否達成與客戶正式溝通與客戶進行正式匯報XDR測試賬號下線D、初步判斷與溝通與客戶正式溝通--組件部署/升級并接入XDR平臺驗證測試目標是否達成與客戶進行正式匯報XDR測試賬號下線答案：D2.以下關于測試腳本使用說法錯誤的是A、測試腳本可產生安全事件和多個安全告警B、測試腳本的控制會掃描并加密本地文件C、測試腳本所在測試機需要能連接外網(wǎng)。D、需要提前需準備好測試機可執(zhí)行測試腳本。答案：B3.XTH、MDR服務、MSs、SPA服務的區(qū)別錯誤的是?A、XTH:通過云端專家在線對事件做審核、研判后打上XTH標簽，研判后的安全事件研發(fā)保證99.9%精準，提升SAASXDR平臺檢測能力B、SPA∶安服專家通過持續(xù)線上服務，綜合運用豐富的技術經驗和威脅情報知識庫，幫助客戶盡早發(fā)現(xiàn)關鍵風險問題，提供可落地修復處置建議和指導。C、MDR:托管式檢測與響應服務，通過安全專家7*24的持續(xù)在線守護，對XDR平臺產生的安全事件進行深度分析和調查，幫助用戶分析和判斷事件影響范圍，并深度溯源事件入侵的原因D、MSS∶安全托管服務，通過安全專家7*24的持續(xù)在線守護，保障可承諾的預防、檢測、響應效果。圍繞安全策略、資產、脆弱性、威脅、事件提供相應的服務。答案：B4.關于SAASXDR資產管理，以下說法錯誤的是?A、需要修改內置的IP范圍定義B、“標簽管理"允許管理員對網(wǎng)絡中資產創(chuàng)建標簽，并關聯(lián)給資產C、支持以資產組視角以及業(yè)務視角查看資產列表D、IP范圍定義中默認的網(wǎng)段不需要進行修改答案：D5.SAASXDR只對接SIP，客戶發(fā)現(xiàn)SAASXDR上資產比SIP上少，不可能是什么原因導致的?A、SIP設備離線了B、SIP跟數(shù)據(jù)網(wǎng)關通信異常C、SIP資產數(shù)據(jù)上報丟失，沒有被SAASXDR接收到D、SIP的Web控制臺上配置了只上傳部分資產的策略答案：D6.SAASEDR、MSS與SAASXDR的云圖ID不同，以下理解錯誤的是?A、云圖ID不同則數(shù)據(jù)不能互通，需要使用相同的云圖ID進行申請SAASEDR、MSS、SAASXDRB、云圖ID不同但數(shù)據(jù)可以互通，云上資產會進行自動關聯(lián)無需配置C、若為mss老客戶，由直接使用已有云圖ID進行申請,mss或xdr切換云圖ID會導致之前的數(shù)據(jù)不可用，需要特別注意，需提前規(guī)避D、由于SAASEDR的agent不能切換云圖ID，只能卸載重裝，若已安裝大量的SAASEDR客戶端，建議SAASXDR的云圖ID使用SAASEDR的云圖ID答案：B7.關于SAASXDR日志檢索，以下說法錯誤的是?A、支持過濾網(wǎng)絡安全日志以及端點安全日志B、支持過濾HTTP以及DNS協(xié)議審計日志C、支持過濾IOC以及IOA日志D、支持使用SPL語法進行日志篩選答案：C8.關于SAASXDR安全事件，以下說法錯誤的是A、進程詳情中包含進程所屬用戶，命令行參數(shù)B、安全事件詳情通常包括基礎信息、威脅告警信息、網(wǎng)絡連接行為、文件行為等C、安全事件中檢測出來的威脅實體無法聯(lián)動EDR進行文件處置D、安全事件中檢測出來的惡意連接可以聯(lián)動AF進行網(wǎng)絡側封堵答案：C9.關于XDR響應處置需求場景說法不正確的是A、EDR支持同步終端用戶身份信息給XDR平臺，實現(xiàn)終端實名化管理B、綜合XDR網(wǎng)絡安全信息和EDR終端安全信息可實現(xiàn)關聯(lián)舉證，提升檢測精準度C、針對逃脫查殺的變種病毒，XDR從網(wǎng)絡側發(fā)現(xiàn)后，支持聯(lián)動EDR隔離中毒主機D、支持聯(lián)動云鏡進行網(wǎng)絡側封鎖。答案：D10.要上門測試或交付XDR平臺，提前準備工作中錯誤的是?A、準備好上次的交付材料和工具，用以往的交付經驗進行交付，省事又快速B、可到tskb或bbs獲取xdr測試/交付裝備和資料C、測試項目渠道上門，需要原廠幫開xdr授權，流程與原廠相同D、重新在匯總貼下載最新資料，確認組件接入版本與最新匯總貼相匹配答案：A11.客戶在做XDR安全體檢時，未發(fā)現(xiàn)客戶現(xiàn)網(wǎng)有安全問題，并且客戶想在現(xiàn)網(wǎng)看到安全效果，優(yōu)先可以引導客戶通過什么方案進行測試?A、自作主張做額外的滲透測試B、申請安服做滲透測試C、通過測試腳本模擬攻擊，形成安全事件并展示攻擊鏈D、通過xhack進行模擬攻擊答案：C12.關于SaaSXDR場景化測試流程指引中，關鍵節(jié)點的理解，錯誤的是?A、組件部署、升級至對應版本并接入XDR平臺B、無需申請云圖，即可開通XDR租戶賬號C、組件成功對接平臺執(zhí)行自動化腳本并講解，直觀向客戶呈現(xiàn)價值D、運營階段，定期登錄XDR平臺，判斷是否達成測試目標，如果達成推動客戶端正式匯報答案：B13.以下關于XDR項目協(xié)同機制說法錯誤的是?A、項目測試前必須明確項目相關方，要求客戶無條件配合標準場景進行測試，從而保障測試效果。B、需要安服介入時，售前需要和客戶溝通MDR授權需要客戶簽字與蓋章，才可保障服務效果，客戶確認后，可由交付工程師果道帶紙質授權上門簽字蓋章。C、上門前必須確認好客戶的環(huán)境以及意愿，需要明確客戶接入的設備類型及E端數(shù)量。D、設備接入后兩天，需關注xdr方案安全效果以及客戶使用效果，避免安全效果情況未同步，不知道項目進展，以及無效果時如何加快項目推進。答案：A14.關于SAASXDR熱點漏洞中推送策略說法正確的是?A、支持個人微信推送B、支持短信推送C、支持飛書推送D、支持企業(yè)微信推送答案：A15.以下哪個選項不屬于威脅模擬功能與效果體現(xiàn)?A、產生安全威脅報告B、快速生成樣例事件C、產生安全告警D、生成安全事件，體驗XDR平臺安全分析能力答案：A16.關于安全組件對接XDR，下列說法錯誤的是?A、安全組件接入賬號以及密碼填寫，需要與XDR平臺上設備對接處填寫一樣B、安全組件接入賬號以及密碼填寫，填寫的是云圖的賬號密碼C、EDR接入XDR后，支持數(shù)據(jù)上報以及XDR響應策略的下發(fā)D、CWPP接入XDR后，會進行資產的上報答案：B17.關于SAASXDR以下說法錯誤的是?A、脆弱性中的數(shù)據(jù)可以來自CWPPB、脆弱性的數(shù)據(jù)可以來自云鏡C、脆弱性數(shù)據(jù)主要包含漏洞以及弱密碼D、SAASXDR不支持以業(yè)務視角查看資產答案：D18.關于SAASXDR資產管理，以下說法錯誤的是?A、一個資產可能有多個數(shù)據(jù)來源B、一個資產同時擁有N側(網(wǎng)絡）和E側(終端）數(shù)據(jù)，資產詳情會更豐富C、一個資產的多個內存和硬盤會被識別成不同資產D、一個資產如果有端點側的數(shù)據(jù)，資產詳情中賬號信息部分數(shù)據(jù)會更準確答案：C19.關于測試腳本說法錯誤的是?A、測試腳本是一套攻擊模擬集合，用于快速讓客戶看到XDR安全檢測效果B、運行測試腳本前不需要事先告知客戶風險，直接運行即可C、測試腳本通過對一些常見攻擊場景進行模擬，快速向客戶展現(xiàn)深信服XDR安全檢測效果D、運行測試腳本前事先告知客戶提醒風險和腳本的功能動作，再運行腳本測試展示效果答案：B20.關于SAASXDR初始化過程中，以下說法錯誤的是?A、配置設備對接B、配置IP范圍C、配置資產分組D、安全事件處置答案：D21.在有安服參與的項目中，需要客服/合作伙伴與安服同事對齊項目信息，交接好，以實現(xiàn)后續(xù)更好的安全事件檢測與分析，以下哪些項不是需要在交接過程中進行檢查的?A、組件關鍵策略配置B、云圖登錄密碼C、客戶網(wǎng)絡環(huán)境D、安全服務圈定資產答案：B22.在XDR測試項目中，交付工程師的主要工作目標不包括以下哪些項?A、確認項目交付風險，保障上門一次成功。B、不因部署/配置問題影響安全服務效果。C、通過XDR平臺分析發(fā)現(xiàn)至少3個有效安全事件，并形成報告單獨給客戶做技術認可。D、XDR的價值展示得到客戶認可，產出可供售前進行價值匯報的測試報告資料。答案：C23.關于SAASXDR可視化中心主要功能組成，以下說法錯誤的是?A、儀表盤B、可視化組件C、報告D、監(jiān)控大屏答案：D24.XDR配套的安全服務說法錯誤的是?A、MDRB、MSSC、SPAD、MTR答案：D25.關于SAASXDR熱點漏洞評估，以下說法錯誤的是A、無法聯(lián)動AF進行評估B、無法聯(lián)動TSS進行評估C、無法聯(lián)動SIP進行評估D、無法聯(lián)動CWPP進行評估答案：D26.下列哪個設備不支持同步資產到xdr平臺A、SIPB、STAC、EDR探針版D、AF答案：D27.STA、AF、MGR、分布式平臺等組件接入到SaaSXDR平臺上，數(shù)據(jù)上傳安全性保障措施中錯誤的是?A、數(shù)據(jù)以json形式上傳B、會對數(shù)據(jù)進行序列化和壓縮C、需要有密鑰才能解開，加密算法為RSAD、傳輸時使用http對數(shù)據(jù)進行加密答案：D28.關于SAASXDR熱點漏洞評估說法正確的是?A、支持聯(lián)動CWPPB、支持聯(lián)動AFC、支持聯(lián)動STAD、支持聯(lián)動SIP答案：A29.XDR跟SOC的區(qū)別中正確的說法是?A、XDR的檢測能力是采集網(wǎng)絡、端點等黑客攻擊路徑中的遙測數(shù)據(jù)并基于黑客攻擊手法、云端專家分析研判經驗固化為關聯(lián)分析引擎構建的，檢測能力明顯強于SoCB、XDR的檢測能力依賴于用戶自行構建威脅建模引擎，無法做到開箱即用C、XDR真正要用好，需要用戶有一個安全分析師團隊基于業(yè)務場景構建檢測模型，對用戶門檻要求很高，非常依賴于專業(yè)人員的持續(xù)運營D、XDR是一個很大的能力集成平臺，包含資產管理、脆弱性管理、威脅檢測、自動化響應、自定義威脅建模、第三方數(shù)據(jù)對接、流程構建等各個能力答案：A30.關于SAASXDR熱點漏洞的理解錯誤的是?A、支持評估中間件漏洞B、支持評估應用漏洞C、支持評估系統(tǒng)漏洞D、支持進行代碼審計答案：D31.以下哪個場景不是SAASXDR響應菜單的主要應用場景?A、封禁地址B、文件處置C、主機隔離D、日志審計答案：D32.SAASXDR脆弱性數(shù)據(jù)來自以下哪個設備?A、云鏡B、ACC、AFD、TSS答案：A33.關于威脅模擬體驗與效果，以下錯誤的是?A、測試腳本主要用于在主機上模擬已失陷的場景B、只需將測試腳本下載到測試機后，然后執(zhí)行腳本，無需其他操作，等待運行結束，即可體現(xiàn)效果C、測試腳本需能聯(lián)通互聯(lián)網(wǎng)的環(huán)境下測試D、體驗樣例事件用于幫助用戶了解產品能力，不會對真實的業(yè)務場景造成影響答案：B34.關于SAASXDR白名單，以下說法正確的是?A、支持安全告警加白B、支持安全時間加白C、支持威脅實體加白D、支持攻擊者IP加白答案：A35.關于SAASXDR安全事件處置閉環(huán)，下列說法錯誤的是?A、如果客戶對安全事件閉環(huán)有難度，推薦客戶使用安全事件詳情右上角"咨詢安全專家"功能進行咨詢閉環(huán)B、推薦客戶購買MDR服務C、安全事件聯(lián)動處置中聯(lián)動AF進行網(wǎng)絡側IP封鎖，其中源IP指的是客戶業(yè)務服務器地址D、安全事件聯(lián)動處置中聯(lián)動EDR進行隔離主機操作，如果聯(lián)動的設備資產列表中沒有隔離主機IP則會聯(lián)動失敗答案：C36.關于SAASXDR熱點漏洞中檢測策略說法正確的是?A、支持按業(yè)務組檢測B、支持按資產組檢測C、支持按資產標簽檢測D、支持在熱點漏洞爆發(fā)之后自動檢測答案：C37.關于SAASXDR響應處置說法錯誤的是?A、SAASXDR聯(lián)動SIP進行IP封鎖B、SAASXDR聯(lián)動EDR進行處置文件C、SAASXDR聯(lián)動EDR進行文件信任D、SAASXDR聯(lián)動AF進行URL封鎖答案：A38.以下關于XDR測試方式說法錯誤的是?A、可通過技術認可PPT/演示平臺/安全小講堂視頻等方式講解，得到客戶認可B、通過運行模擬攻擊腳本產生安全事件，講解XDR還原攻擊鏈的效果，從而得到客戶認可。C、在沒得到客戶許可的情況下，通過滲透測試攻擊，制造安全事件，讓客戶認可D、可通過agent客戶端部署，安全組件接入后，XDR平臺幫助客戶內網(wǎng)做到安全體檢的效果，而獲得客戶認可。答案：C39.在測試過程由于未控制客戶預期導致測試周期長，無法確定什么階段可以匯報的主要原因是?A、未和客戶簽屬MDR授權B、測試目標未與客戶對齊一致C、客戶環(huán)境復雜組件難部署。D、客戶網(wǎng)絡太干凈，未檢測出安全事件。答案：B40.以下不屬于SAASXDR主打價值的是A、可以接入任意第三方數(shù)據(jù)進行標準化安全分析。B、安全事件精準分析C、提高安全事件處置效率D、N+E攻擊故事線還原答案：A41.XDR數(shù)據(jù)采集區(qū)分N側和E側，下列不屬于N側的產品是:A、NTAB、STAC、SIPD、CWPP答案：D42.關于SaaSXDR場景化測試，注意事項，錯誤的是?A、目標達成正式匯報︰整合客戶匯報PPT并完成客戶端匯報〈(XDR數(shù)據(jù)可直接登錄平臺自行獲取MDRIMSS部分由安服經理提供)B、將EDR安裝到用戶側高風險主機上(SIP或者AF檢出的高風險主機)，且保證有N+E側流量覆蓋，測試效果更有保障C、所有組件版本升級到最新，授權更新到最新即可，最新版都可完美支持接入XDRD、組件成功對接到平臺后按照指引執(zhí)行自動化腳本，執(zhí)行完可以快速在XDR平臺呈現(xiàn)攻擊故事線效果，配合講解話術(參考視頻)可以快速讓客戶感知到XDR的價值和能力，快速實現(xiàn)技術認可答案：C43.關于組件上傳數(shù)據(jù)至SAASXDR平臺的說法錯誤的是A、數(shù)據(jù)以json形式上傳，會對數(shù)據(jù)進行序列化和壓縮B、傳輸時使用https對數(shù)據(jù)進行加密，需要有密鑰才能解開，加密算法為RSAC、E端側數(shù)據(jù)(EDR/CWPP）和N網(wǎng)絡側數(shù)據(jù)（SIPIAF）上傳的帶寬和數(shù)據(jù)量保持一致D、經過客戶確認同意后，勾選數(shù)據(jù)上傳，才能實現(xiàn)數(shù)據(jù)上傳到云端答案：C44.關于SAASXDR風險資產，以下說法錯誤的是?A、風險資產會關聯(lián)安全事件B、風險資產會關聯(lián)資產的脆弱性C、風險資產屬于安全運營過程中用戶重點關注的部分D、風險資產關聯(lián)的安全事件必須同時具備網(wǎng)絡側跟端點側數(shù)據(jù)答案：D45.以下關于XDR的描述錯誤的是?A、一種基于SaaS，可將多種安全產品原生集成的安全威脅檢測和事件響應產品品類B、通過采集網(wǎng)絡側(N)+終端側(E）的遙測數(shù)據(jù)進行深度關聯(lián)分析，為用戶呈現(xiàn)一個事件的完整攻擊鏈C、XDR是EDR的升級版D、XDR幫助用戶快速完成事件檢測和響應工作，避免陷入海量告警、誤報、漏報問題中答案：C46.在測試SAASXDR時，項目未申請MDR試運營，檢測到安全事件后，客戶需要進行分析，優(yōu)先建議客戶如何操作?A、申請本地安服同事遠程協(xié)助響應客戶問題B、申請本地安服同事上門響應客戶問題C、轉400進行協(xié)助。D、通過XDR平臺右上角“咨詢攻防專家”獲取協(xié)助，試用服務。答案：D47.關于測試腳本體驗前環(huán)境配置錯誤的是?A、EDR服務端(MGR)策略中心病毒查殺設置僅上報不處置，實時防護設置僅上報不處置B、裝agent的終端測試機(推薦Windows10)上取消告警彈窗C、測試腳本相關操作雖然已經做了無害化處理，但也會對真實的業(yè)務場景造成一定的影響D、工具需要在能聯(lián)通互聯(lián)網(wǎng)的環(huán)境下進行測試，基于windows的BAT批處理開發(fā)答案：C48.客戶有很多資產，但是由于臺賬不完整，無法定位到資產負責人，可以使用哪個功能協(xié)助客戶梳理資產跟負責人之間的關系?A、IP范圍定義B、標簽管理C、資產責任人D、資產分組答案：C49.下列XDR與SIP的區(qū)別，說法錯誤的是?A、SIP主要為NDR的技術路線，即通過網(wǎng)絡流量采集來定位和發(fā)現(xiàn)威脅。B、SIP可以做到呈現(xiàn)確定的事件，而不是可能發(fā)生的告警。C、XDR=NDR+EDR+安全服務+其他（可擴展)。D、XDR將過程（網(wǎng)絡）與結果(終端）全部采集并基于attack攻擊矩陣圖、專家知識經驗固化為關聯(lián)分析模型來講網(wǎng)絡及終端側的行為做關聯(lián)分析，實現(xiàn)自動化生成完整攻擊鏈的效果。答案：B50.在客戶現(xiàn)場進行SAASXDR測試時，為達到安全效果對部署終端的要求，以下說法錯誤的是?A、SaaSXDR+SIP+STA+EDR探針版/全量版（要求服務器≥20點，PC250點)或者SaaSXDR+STA+EDR(要求服務器≥20點，PCz50點)B、選擇安裝客戶端(EDR/CWPP)的主機需要是客戶關注的主機。C、選擇在客戶的純內網(wǎng)，不可上網(wǎng)的主機進行客戶端(EDR/CWPP）安裝D、在客戶關注的網(wǎng)段選擇風險較大的終端進行客戶端（EDRCWPP）的安裝。如查看SIPIAF或客戶的檢測設備，識別風險較高的主機安裝客戶端。答案：C51.關于SAASXDR推送設置，以下說法錯誤的是?A、支持推送安全事件B、支持推送資產脆弱性C、支持推送熱點漏洞事件D、支持多用戶綁定推送答案：B52.關于SAASXDR安全告警，以下說法錯誤的是?A、支持封禁地址B、支持隔離主機C、支持加白名單D、部分安全告警中"處置文件"跟"信任文件"按鈕是灰色的，該情況屬于異常答案：D53.下列哪些設備目前不支持對接SAASXDR平臺A、EDRB、atrustC、STAD、SIP答案：B54.關于SAASXDR允許對接的設備，以下說法錯誤的是?A、ADB、AFC、SIPD、CWPP答案：A55.關于SAASXDR日志檢索使