實施事件管理

即時監測和預防措施

日誌記錄和偵測

自動事件回應

列出和描述事件管理步驟 驟。 CISSP 的「安全營運」領域列出了事件管理步驟：偵測、回應、抑制、報告、復原、補救和總結教訓。偵測並證明有事件發生後，第一個反應是限製或控制事件的範圍，同時保護證據。根據相關法律，組織可能需要把事件回報相關部門。如果個人識別資訊(PII受到影響，則還需要把情況通知相關個人。補救和總結教訓階段包括進行根本原因分析，以確定原因和提出解決方案，以防事件再次發生。

了解基本預防措施。基本預防措施可以防止許多事件發生。這些措施包括保持系統即時更新、移除或停用不需要的協定和服務、使用入侵偵測和預防系統、使用配備了最新簽署的反惡意軟體程式以及啟用基於主機和網路的防火牆。

了解白名單與黑名單的差異。軟體白名單提供一個經過批准的軟體的列表，以防止未被列入名單的任何其他軟體被安裝到系統中。黑名單則提供一個未經批准的軟體的列表，以防止被列入名單的任何軟體被安裝到系統中。

了解沙箱。沙箱提供了一個隔離的環境，可阻止沙箱內運行的程式碼與沙箱外的元素互動。

了解第三方提供的安全服務。第三方安全服務可協助組織增強內部員工提供的安全服務。許多組織用基於雲端的解決方案來增強內部安全。

了解殭屍網、殭屍網控制者和殭屍牧人。殭屍網可以調動大量電腦發動攻擊而形成重大威脅，因此，有必要了解什麼是殭屍網路。殭屍網是遭入侵的計算設備(通常被稱作傀儡或殭屍)的集合體，它們形成一個網絡，由被稱作殭屍牧人的犯罪分子操控。殭屍牧人透過C&C伺服器遠端控制殭屍，經常利用殭屍網對其他系統發動攻擊，或發送垃圾郵件或網路釣魚郵件。殭屍牧人也把殭屍網的訪問權出租給其他犯罪者。

了解拒絕服務(DoS)攻擊。 DoS 攻擊阻止系統回應合法服務 請求。破壞TCP 三次握手的SYN洪水攻擊一種常見的DoS 攻古手段。即便老式的攻擊由於基本預防措施的攔截而在今天不太常見，你依然會遇到這方面的考題，因為許多新式攻擊手段往往只是舊方法的變體。 smurf攻擊利用一個方大王想受害者發送大量回應包。死亡之ping攻擊會向受害者發送大量超大ping包，導致受害者係統凍結、崩潰或重啟。

了解零日利用。零日利用指利用一個攻擊者以外其他任何人都不知道活著只有有限的幾個人知道的漏洞的攻擊。從表面上看，這像是一種無從防範的未知調洞，但基本安全保好指施還是能對頂防零日利用提供很大幫助的。透過移除或停用不需要的協定和服務，可以縮小系統的受攻擊面：後用防火牆，能封鎖許多存取點：而採用入侵偵測和預防系統，可輕的偵測和攔械潛在的攻擊。此外，透過使用蜜罐等工具，也可以幫助保護活躍的網路。

了解中間人攻擊。當一名悉意用戶能夠在通訊線路的兩個端點之間佔據一個邏輯位置時，便意味者發生了中間人攻擊。儘管為了完成一次中間人攻擊，攻擊者需要做相當多的複雜事情，但他從攻擊中獲得的資料量也是相當大的。

了解入侵偵測和入侵預防。 IDS 和 IPS 是抵禦攻擊的重要偵測和預防手段。你需要了解基於知識的偵測(使用了一個與反悉意軟體簽章庫類似的資料庫)和基於行為的偵測之間的差異。基於行為的檢測先創建一條基線以識別正常行為，然後把各種活動與基線相比較，從而檢測出;異常活動。如果網路發生改動，基線可能會過時，因此環境一旦發生變化，基線必須馬上更新。

認識IDS/IPS 回應。 IDS 可透過日誌記錄和傳送通知來被動回應，也可透過更改環境來主動回應。有人把主動 IDS 稱為 IPS。但重要的是認識到，IPS 被放置在承載通訊流的內聯線路上，可在悉意通訊流到達目標之前攔截它們。

了解 HIDS 與 NIDS 的差異。基於主機的 IDS(HIDS)只能監控單一系統上的活動。缺點是攻擊者可以發現並停用它們。基於網路的IDS（NIDS)可以監測一個網路上的活動，而且是攻擊者看不見的。

描述蜜罐和蜜網。蜜罐是通常用偽缺陷和假數據來引誘入侵者的系統。蜜網是一個網路裡的兩個或多個蜜罐。管理員可在攻擊者進人蜜罐後觀察他們的活動，攻擊者只要在蜜罐裡，他們就不會在活躍網路中。

了解攔截惡意程式碼的方法。將幾種工具結合起來使用時可攔截惡意程式碼。其中，反惡意軟體程式安裝在每個系統、網路邊界和電子郵件伺服器上，並配有最新定義，是最明顯的工具。不過，基於最小特權原則等基本安全原則的策略也會阻止一般使用者安裝潛在惡意軟體。此外，就風險和攻擊者常用的傳播病毒的方法對使用者開展教育，也可幫助使用者了解和規避危險行為。

了解日誌檔案的類型。日誌資料被記錄在資料庫和各類日誌檔案裡。常見的日誌檔案包括安全日誌、系統日誌、應用程式日誌、防火牆日誌、代理程式日誌和變更日誌。日誌檔案應該集中存儲，以限制存取權限等方式予以保護；而歸檔日誌應設定為唯讀，防止有人篡改。

了解檢測以及檢測工具的用途。檢測室著重於主動審查日誌檔案資料的一種稽核形式。檢測用於是行使主體對自己的行為負責以及檢測異常或惡意活動。檢測也用於監控系統效能。 IDS、SIEM等監測工具可以自動持續進行監控並提供對事件的即時分析，包括監控網路內的情況，進入網路的通訊流和離開網路的通訊流。日誌管理包括分析日誌和歸檔日誌。

解釋審計踪跡。審計踪跡是在將有關事件及事發情況的資訊寫入一個或多個資料庫或日誌檔案中時所建立的記錄。審計蹤述可用於重建事件、提取事件資訊、證明罪責或反駁指控。使用稽核蹤跡是執行偵測性安全控制的被動形式。審計蹤跡還是起訴犯罪者的基本證據。

了解如何保持問責。透過使用審計，可保持對個人行事主體的問責。日誌記錄使用者活動，使用者要對記錄在案的行為負責。這對使用者形成良好行為習慣、遵守組織安全策略有著直接的促進作用。

了解抽樣和剪切。抽樣也叫資料擷取，是指從大量資料中提取特定元素，構成有意義的概述或摘要的過程。統計抽樣利用精確的數學函數從大量資料中提取有意義的資訊。剪切作為非統計抽樣的一種形式，只記錄超過閾值的事件。

描述威脅饋送和威脅搜尋。威脅饋送可提供組織穩定的原始資料流。安全管理員透過分析威脅饋送，可以掌握當前威脅的情況。他們隨後可以利用這些資訊在網路中展開搜素，從中尋找這些威脅的跡象。

了解機器學習(ML)與人工智慧(AI）之間的關係。 ML是AI 的組成部分，是指系統的學習能力。 AI 是涵蓋面很廣的一個主題，其中包含 ML。

了解 SOAR。 SOAR 技術可以對事件自動做出回應。 SOAR 的主要好處之一是它可以減輕管理員的工作負擔。它還可以透過讓電腦系統做出回應來消除人為錯誤。

1.以下哪些選項是 CISSP 目標列出的有效事件管理步驟或階段？ (選出所有適用答案。） A. 預防 B.檢測 C.報告 D.總結教訓 E. 備份

2.你在排除使用者電腦上的故障。你查看了基於主機的入侵偵測系統(HIDS)的日誌後確 定這台電腦已被惡意軟體入侵。接下來，你應該在以下選項中選擇哪一項？ A. 把電腦與網路隔離開來 B. 檢視鄰近電腦的 HIDS 日誌 C.進行一次防毒掃描 D.對系統進行分析，找出它是如何被感染的

3. 在(ISC)2提出的事件管理步驟中，應該先執行哪一步？ A. 回應 B. 抑制 C.補救 D.檢測

4. 下列哪些選項是可以預防許多攻擊的基本安全控制？ （選出3項。） A. 保持系統和應用程式即時更新 B. 執行安全編排、自動化與回應(SOAR)技術 C.移除或停用不需要的服務或協議 D.使用最新的反悉意軟體程式 E.在邊界上使用 WAF

5．安全管理員在查看事件日誌收集的所有資料。下列哪一項是對這個數據體的最佳表達？ A. 身分識別 B. 審計蹤跡 C. 授權 D.保密性

6. 你的網路上的一個檔案伺服器最近崩潰。調查顯示，日誌增加過多，填滿了整個硬碟。你決定啟用滾動日誌來防止這種情況再次發生。下列哪一項是你應該最先採取的步驟？ A. 設定日誌，使其可以自動覆蓋舊條目 B. 把現有日誌複製到另一個磁碟機上 C.在日誌中尋找攻擊的任何跡象 D.刪除最早的日誌條目

7．你懷疑有攻擊者對系統發動了 fraggle 攻擊。你檢查日誌，用 fraggle 使用的協定過濾你的搜素。你會在過濾器中使用哪個協定？ A. 用戶資料報協議(UDP) B. 傳輸控制協定(TCP) C.網際網路控制訊息協定(ICMP) D.安全編排、自動化與回應(SOAR)

8，你在修訂安全管理員訓練手冊，準備加入有關零日利用的內容。下列哪一項是零日利用的最恰當描述？ A.利用還沒有修補程式或修補程式的漏洞的攻擊 B. 新近發現的還沒有修補程式或修補程式的漏洞 C.對沒有現成補丁的系統的攻擊 D 會在使用者啟動應用程式後釋放其有效載荷的惡意軟體

9 組織使用者投訴說，他們無法訪問幾個通常可以訪問的網站。你透過排除故障發現，一個入侵預防系統（IPS）攔截了通訊留，但是這個通訊流不是惡意的。這屬於？ A 假陰性 B. 蜜網 C.假陽性 D.沙箱

10. 你正在安裝一個新的入侵偵測系統(IDS)。 IDS 要求你在完全執行它之前創建一系基線。 下列哪一項是對這個 IDS 的最怡當描述？ A. 模式匹配 DDS B.基於知識的 DDS C基於簽名的 1S D.基於異常的 DDS

11. 一名管理員在執行一個入侵偵測系統。系統安裝完畢後會監測所有通訊流，並會在偵測出可疑通訊流時發出警報。下列哪一項是對這個系統的最怡當描述？ A. 基於主機的入侵偵測系統(HIDS) B. 網路為基礎的入侵偵測系統(NIDS) C.蜜網 D.網路防火牆

12. 你正在安裝一個系統，管理階層希望它能減少網路上發生的事件。設定指令要求你把它配置在承載通訊流的內聯線路上，以使所有通訊流必須在經過它之後才能到達內部網路。下列哪一個選項最適合標示這個系統？ ^.基於網路的入侵預防系統(VIPS) B. 網路為基礎的入侵偵測系統(NIDS) C.基於主機的入侵預防系統(HIPS) D.基於主機的入侵偵測系統(HIDS)

13. 你為使用者的系統安裝了一個應用程式後，主管告訴你，由於這個應用程式消耗了系統的大部分資源，要把它移除。你安裝的最有可能是下列哪一種預防系統？ A. 網路為基礎的入侵偵測系統(NIDS) B. web 應用程式防火牆(WAF) C．安全資訊與事件管理(SIEM)系統 D.基於主機的入侵偵測系統CHIDS)

14. 你正在更換一個故障的交換器。原始交換器的設定檔表明，需要把一個特定連接埠配置成鏡像連接埠。下列哪一個網路設備會連接這個連接埠？ A. 入侵預防系統(PS) B.入侵偵測系統(IDS) C.蜜罐 D 沙箱

15 一個網路設備配備了一個基於網路的入侵偵測系統（NIDS）。然後，安全管理員發現，網路上發生了一此攻擊，但NIDS井設有發出警報。這屬於？ A. 假陽性 B. 假陰性 C. fraggle 攻擊 D.smurf 攻擊

16 管理階層要求增加一個入侵偵測系統(IDS），以偵測新的安全威脅。下列哪一項是的生選擇？ A. 基於簽名的 IDS B. 基於異常的 IDS C. 主動IDS D. 網路為基礎的 IDS

17. 你任職的組織最近配置了一個用於監測的集中式應用程式。這種情況最符合下列原項描述？ A. SOAR B. SIEM C. HIDS D.威脅饋送

18. 在最近發生一次攻擊後，管理階層決定採用入口監控系統來預防資料外洩。下列哪一項是最佳選擇？ A. NIDS B. NIPS C.防火牆 D.DLP 系統

19. 安全管理員定期查看威脅饋送並利用此資訊檢查網路內的系統。他們的目標是發現任何不曾被現有工具偵測出來的感染或攻擊。這種情況最符合下列哪一種描述？ A. 威脅搜尋 B. 威脅情報 C.執行殺傷鏈 D.利用人工智慧

20. 管理員發現，他們在重複執行相同的步驟水核實入侵偵測系統的警報並執行其他重複性步驟來抑制己知攻擊。以下選項中，哪一項可以自動執行這些步驟？ A. SOAR B. SIEM C. NIDS D. DI