2026年企业网络安全应急响应流程实操考核试卷及解析.docxVIP

2026年企业网络安全应急响应流程实操考核试卷及解析

一、单项选择题（每题2分，共20分。每题只有一个正确答案，错选、多选均不得分）

1.在NIST800-61r2定义的应急响应六阶段中，下列哪一项属于“检测与分析”阶段的核心输出物？

A.业务连续性计划

B.事件分类与优先级矩阵

C.事后改进报告

D.证据封存清单

答案：B

解析：检测与分析阶段需对事件进行初步分类并赋予优先级，为后续响应资源调配提供依据。

2.某企业采用SIEM平台集中收集日志，若需检测“横向移动”行为，下列哪条关联规则最合理？

A.`event_id:4624ANDlogon_type:3ANDaccount_name:admin*`

B.`event_id:4672ANDsubject_user_name:system`

C.`event_id:4624ANDsource_ip!=dest_ipANDdest_port:445`

D.`event_id:4776ANDerror_code:0xc0000064`

答案：C

解析：源IP≠目的IP且目的端口为445，可发现远程IPC$连接，是横向移动的典型特征。

3.在Windows取证中，若要确认攻击者是否使用“黄金票据”持久化，应优先检查以下哪一项？

A.Security.evtx中4624事件

B.Sys