实施事件管理

实时监测和预防措施

日志记录和检测

自动事件响应

列出和描述事件管理步 骤。CISSP 的“安全运营”域列出了事件管理步骤：检测、响应、抑制、报告、恢复、补救和总结教训。检测并证明有事件发生后，第一响应是限制或控制事件的范围，同时保护证据。根据相关法律，组织可能需要把事件上报相关部门。如果个人身份信息(PII受到影响，则还需要把情况通知相关个人。补救和总结教训阶段包括进行根本原因分析，以确定原因和提出解决方案，以防事件再次发生。

了解基本预防措施。基本预防措施可以防止许多事件发生。这些措施包括保持系统即时更新、移除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用配备了最新签名的反恶意软件程序以及启用基于主机和网络的防火墙。

了解白名单与黑名单的差异。软件白名单提供一个得到批准的软件的列表，以防止未被列入名单的任何其他软件被安装到系统中。黑名单则提供一个未得到批准的软件的列表，以防止被列入名单的任何软件被安装到系统中。

了解沙箱。沙箱提供了一个隔离的环境，可阻止沙箱内运行的代码与沙箱外的元素交互。

了解第三方提供的安全服务。第三方安全服务可帮助组织增强内部员工提供的安全服务。许多组织用基于云的解决方案来增强内部安全。

了解僵尸网、僵尸网控制者和僵尸牧人。僵尸网可以调动大量计算机发动攻击而形成一种重大威胁，因此，有必要了解什么是僵尸网。僵尸网是遭入侵的计算设备(通常被称作傀儡或僵尸)的集合体，它们形成一个网络，由被称作僵尸牧人的犯罪分子操控。僵尸牧人通过C&C服务器远程控制僵尸，经常利用僵尸网对其他系统发起攻击，或发送垃圾邮件或网络钓鱼邮件。僵尸牧人还把僵尸网的访问权出租给其他犯罪分子。

了解拒绝服务(DoS)攻击。DoS 攻击阻止系统响应合法服务 请求。破坏TCP 三次握手的SYN洪水攻击一种常见的DoS 攻古手段。即便老式的攻击由于基本预防措施的拦截而在今天不太常见，你依然会遇到这方面的考题，因为许多新式攻击手段往往只是旧方法的变体。smurf攻击利用一个方大王想受害者发送大量响应包。死亡之ping攻击向受害者发送大量超大ping包，导致受害者系统冻结、崩溃或重启。

了解零日利用。零日利用指利用一个除攻击者以外其他任何人都不知道活着只有有限的几个人知道的漏洞的攻击。从表面上看，这像是一种无从防范的未知调洞，但基本安全保好指施还是能对顶防零日利用提供很大帮助的。通过移除或禁用不需要的协议和服务，可以缩小系统的受攻击面：后用防火墙，能封锁许多访问点：而采用入侵检测和预防系统，可轻的检测和拦械潜在的攻击。此外，通过使用蜜罐等工具，也可以帮助保护活跃的网络。

了解中间人攻击。当一名悉意用户能够在通信线路的两个端点之间占据一个逻辑位置时，便意味者发生了中间人攻击。尽管为了完成一次中间人攻击，攻击者需要做相当多的复杂事情，但他从攻击中获得的数据量也是相当大的。

了解入侵检测和入侵预防。IDS 和 IPS 是抵御攻击的重要检测和预防手段。你需要了解基于知识的检测(使用了一个与反悉意软件签名库类似的数据库)和基于行为的检测之间的区别。基于行为的检测先创建一条基线以识别正常行为，然后把各种活动与基线相比较，从而检测出;异常活动。如果网络发生改动，基线可能会过时，因此环境一旦发生变化，基线必须马上更新。

认识IDS/IPS 响应。IDS 可通过日志记录和发送通知来被动做出响应，也可通过更改环境来主动做出响应。有人把主动 IDS 称为 IPS。但重要的是认识到，IPS 被放置在承载通信流的内联线路上，可在悉意通信流到达目标之前拦截它们。

了解 HIDS 与 NIDS 的区别。基于主机的 IDS(HIDS)只能监测单个系统上的活动。缺点是攻击者可以发现并禁用它们。基于网络的IDS（NIDS)可以监测一个网络上的活动，而且是攻击者不可见的。

描述蜜罐和蜜网。蜜罐是通常用伪缺陷和假数据来引诱入侵者的一个系统。蜜网是一个网络里的两个或多个蜜罐。管理员可在攻击者进人蜜罐后观察他们的活动，攻击者只要在蜜罐里，他们就不会在活跃网络中。

了解拦截恶意代码的方法。将几种工具结合起来使用时可拦截恶意代码。其中，反恶意软件程序安装在每个系统、网络边界和电子邮件服务器上，配有最新定义，是最明显的工具。不过，基于最小特权原则等基本安全原则的策略也会阻止普通用户安装潜在恶意软件。此外，就风险和攻击者常用的传播病毒的方法对用户开展教育，也可帮助用户了解和规避危险行为。

了解日志文件的类型。日志数据被记录在数据库和各类日志文件里。常见的日志文件包括安全日志、系统日志、应用日志、防火墙日志、代理日志和变更日志。日志文件应该集中存储，以限制访问权限等方式予以保护；而归档日志应设置为只读，防止有人篡改。

了解检测以及检测工具的用途。检测室侧重于主动审查日志文件数据的一种审计形式。检测用于是行使主体对自己的行为负责以及检测异常或恶意活动。检测还用于监控系统性能。IDS、SIEM等监测工具可以自动持续进行监测并提供对事件的实时分析，包括监测网络内的情况，进入网络的通信流和离开网络的通信流。日志管理包括分析日志和归档日志。

解释审计踪迹。审计踪迹是在将有关事件及事发情况的信息写入一个或多个数据库或日志文件中时创建的记录。审计踪述可用于重建事件、提取事件信息、证明罪责或反驳指控。使用审计踪迹是执行检测性安全控制的一种被动形式。审计踪迹还是起诉犯罪分子的基本证据。

了解如何保持问 责。通过使用审计，可保持对个人行事主体的问责。日志记录用户活动，用户要对记录在案的行为负责。这对用户形成良好行为习惯、遵守组织安全策略有着直接的促进作用。

了解抽样和剪切。抽样也叫数据提取，是指从大量数据中提取特定元素，构成有意义的概述或摘要的过程。统计抽样利用精确的数学函数从大量数据中提取有意义的信息。剪切作为非统计抽样的一种形式，只记录超过阈值的事件。

描述威胁馈送和威胁搜寻。威胁馈送可向组织提供稳定的原始数据流。安全管理员通过分析威胁馈送，可以掌握当前威胁的情况。他们随后可以利用这些信息在网络中展开搜素，从中寻找这些威胁的迹象。

了解机器学习(ML)与人工智能(AI）之间的关系。ML是AI 的组成部分，是指系统的学习能力。AI 是涵盖面很广的一个主题，其中包含 ML。

了解 SOAR。 SOAR 技术可以对事件自动做出响应。SOAR 的主要好处之一是它可以减轻管理员的工作负担。它还可以通过让计算机系统做出响应来消除人为错误。

1.以下哪些选项是 CISSP 目标列出的有效事件管理步骤或阶段？(选出所有适用答案。） A. 预防 B.检测 C.报告 D.总结教训 E. 备份

2.你在排除用户计算机上的故障。你查看了基于主机的入侵检测系统(HIDS)的日志后确 定这台计算机已被恶意软件入侵。接下来，你应该在以下选项中选择哪一项？ A. 把计算机与网络隔离开来 B. 查看邻近计算机的 HIDS 日志 C.进行一次杀毒扫描 D.对系统进行分析，查明它是怎样被感染的

3. 在(ISC)2提出的事件管理步骤中，应该最先执行哪一步？ A. 响应 B. 抑制 C.补救 D.检测

4. 以下哪些选项是可以预防许多攻击的基本安全控制？（选出3项。） A. 保持系统和应用程序即时更新 B. 执行安全编排、自动化和响应(SOAR)技术 C.移除或禁用不需要的服务或协议 D.使用最新的反悉意软件程序 E.在边界上使用 WAF

5．安全管理员在查看事件日志收集的所有数据。以下哪一项是对这个数据体的最佳表达？ A. 身份识别 B. 审计踪迹 C. 授权 D.保密性

6. 你的网络上的一个文件服务器最近崩溃。调查显示，日志增加得过多，填满了整个硬盘。你决定启用滚动日志来防止这种情况再次发生。以下哪一项是你应该最先采取的步骤？ A. 配置日志，使其可以自动覆盖旧条目 B. 把现有日志复制到另一个驱动器上 C.在日志中查找攻击的任何迹象 D.删除最早的日志条目

7．你怀疑有攻击者对系统发起了 fraggle 攻击。你检查日志，用 fraggle 使用的协议过滤你的搜素。你会在过滤器中使用哪个协议？ A. 用户数据报协议(UDP) B. 传输控制协议(TCP) C.互联网控制消息协议(ICMP) D.安全编排、自动化和响应(SOAR)

8，你在修订安全管理员培训手册，准备添加有关零日利用的内容。以下哪一项是对零日利用的最恰当描述？ A.利用还没有补丁或修补程序的漏洞的攻击 B. 新近发现的还没有补丁或修补程序的漏洞 C.对没有现成补丁的系统的攻击 D 会在用户启动应用程序后释放其有效载荷的恶意软件

9 组织用户投诉说，他们无法访问几个通常可以访问的网站。你通过排除故障发现，一个入侵预防系统（IPS）拦截了通信留，但是这个通信流不是恶意的。这属于？ A 假阴性 B. 蜜网 C.假阳性 D.沙箱

10. 你在安装一个新的入侵检测系统(IDS)。 IDS 要求你在完全执行它之前创建一系基线。 以下哪一项是对这个 IDS 的最怡当描述？ A. 模式匹配 DDS B.基于知识的 DDS C基于签名的 1S D.基于异常的 DDS

11. 一名管理员在执行一个入侵检测系统。该系统安装完毕后会监测所有通信流，并会在检测出可疑通信流时发出警报。以下哪一项是对这个系统的最怡当描述？ A. 基于主机的入侵检测系统(HIDS) B. 基于网络的入侵检测系统(NIDS) C.蜜网 D.网络防火墙

12. 你在安装一个系统，管理层希望它能减少网络上发生的事件。设置指令要求你把它配置在承载通信流的内联线路上，以使所有通信流必须在经过它之后才能到达内部网络。以下哪个选项最适合标明这个系统？ ^.基于网络的入侵预防系统(VIPS) B. 基于网络的入侵检测系统(NIDS) C.基于主机的入侵预防系统(HIPS) D.基于主机的入侵检测系统(HIDS)

13. 你给用户的系统安装了一个应用程序后，主管告诉你，由于这个应用程序消耗了系统的大部分资源，要把它移除。你安装的最有可能是以下哪种预防系统？ A. 基于网络的入侵检测系统(NIDS) B. web 应用程序防火墙(WAF) C．安全信息和事件管理(SIEM)系统 D.基于主机的入侵检测系统CHIDS)

14. 你在更换一个出故障的交换机。原交换机的配置文件表明，需要把一个特定端口配置成镜像端口。以下哪个网络设备会连接这个端口？ A. 入侵预防系统(PS) B.入侵检测系统(IDS) C.蜜罐 D 沙箱

15 一个网络设备配备了一个基于网络的入侵检测系统（NIDS）。然后，安全管理员发现，网上发生了一此攻击，但是NIDS井设有发出警报。这属于？ A. 假阳性 B. 假阴性 C. fraggle 攻击 D.smurf 攻击

16 管理层要求增加一个入侵检测系统(IDS），以检测新的安全威胁。以下哪一项是的生选择？ A. 基于签名的 IDS B. 基于异常的 IDS C. 主动IDS D. 基于网络的 IDS

17. 你供职的组织最近配置了一个用于监测的集中式应用程序。这种情况最符合以下原项描述？ A. SOAR B. SIEM C. HIDS D.威胁馈送

18. 最近发生一次攻击后，管理层决定采用一种入口监测系统来预防数据外泄。以下哪项是最佳选择？ A. NIDS B. NIPS C.防火墙 D.DLP 系统

19. 安全管理员定期查看威胁馈送并利用这一信息检查网络内的系统。他们的目标是发现不曾被现有工具检测出来的任何感染或攻击。这种情况最符合以下哪种描述？ A. 威胁搜寻 B. 威胁情报 C.执行杀伤链 D.利用人工智能

20. 管理员发现，他们在重复执行相同的步骤水核实入侵检测系统的警报并执行其他重复性步骤来抑制己知攻击。以下选项中，哪一项可以自动执行这些步骤？ A. SOAR B. SIEM C. NIDS D. DI