2025年信息系统安全专家基于SIEM的威胁狩猎实践专题试卷及解析.pdfVIP

2025年信息系统安全专家基于SIEM的威胁狩猎实践专题试卷及解析1

2025年信息系统安全专家基于SIEM的威胁狩猎实践专题

试卷及解析

2025年信息系统安全专家基于SIEM的威胁狩猎实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM系统中，威胁狩猎活动主要依赖以下哪种数据源？

A、网络流量镜像

B、终端行为日志

C、安全设备告警

D、以上所有

【答案】D

【解析】正确答案是D。威胁狩猎需要综合分析多源数据，包括网络流量、终端日志

和安全设备告警。A选项仅覆盖网络层，B选项仅覆盖终端层，C选项仅覆盖告警层，

均不全面。知识点：SIEM数据源整合。易错点：容易忽略多源数据关联分析的重要性。

2、SIEM系统中，以下哪种规则最适合检测横向移动行为？

A、单一登录失败

B、异常端口扫描

C、同一账户短时间内多IP登录

D、大量数据外传

【答案】C

【解析】正确答案是C。横向移动的典型特征是同一账户在不同主机间切换，多IP

登录是关键指标。A选项可能是误操作，B选项可能是网络探测，D选项更可能是数据

泄露。知识点：横向移动检测。易错点：容易将横向移动与普通登录混淆。

3、威胁狩猎中，MITREATTCK框架主要用于？

A、日志格式标准化

B、攻击行为分类

C、告警优先级排序

D、数据存储优化

【答案】B

【解析】正确答案是B。MITREATTCK是攻击行为知识库，用于分类和描述攻

击技术。A选项是日志管理范畴，C选项是SIEM规则配置，D选项是存储管理。知识

点：ATTCK框架应用。易错点：容易混淆框架与工具功能。

4、SIEM系统中，以下哪种方法最适合检测零日攻击？

A、基于签名的检测

B、异常行为分析

2025年信息系统安全专家基于SIEM的威胁狩猎实践专题试卷及解析2

C、黑名单匹配

D、端口扫描检测

【答案】B

【解析】正确答案是B。零日攻击无已知特征，只能通过异常行为检测。A、C选项

依赖已知特征，D选项仅覆盖网络探测。知识点：零日攻击检测。易错点：容易过度依

赖传统检测方法。

5、威胁狩猎活动中，以下哪种指标最常用于衡量效果？

A、告警数量

B、检测时间

C、误报率

D、存储容量

【答案】C

【解析】正确答案是C。误报率直接影响狩猎效率，是核心指标。A选项可能反映

噪声，B选项是响应指标，D选项是资源指标。知识点：威胁狩猎KPI。易错点：容易

忽略误报率的影响。

6、SIEM系统中，以下哪种技术最适合检测隐蔽隧道？

A、DNS查询分析

B、HTTP流量分析

C、ICMP流量分析

D、以上所有

【答案】D

【解析】正确答案是D。隐蔽隧道可能使用多种协议，需综合分析。A、B、C选项

仅覆盖单一协议。知识点：隐蔽隧道检测。易错点：容易忽略多协议分析。

7、威胁狩猎中，以下哪种方法最适合检测权限提升？

A、进程监控

B、文件完整性监控

C、用户权限变更日志

D、网络流量分析

【答案】C

【解析】正确答案是C。权限提升直接体现在权限变更日志中。A、B选项是间接指

标，D选项与权限提升无关。知识点：权限提升检测。易错点：容易混淆直接与间接证

据。

8、SIEM系统中，以下哪种规则最适合检测数据泄露？

A、大量文件删除

B、异常数据传输

2025年信息系统安全专家基于SIEM的威胁狩猎实践专题试卷及解析3

C、频繁登录失败

D、进程异常启动

【答案】B

【解析】正确答案是B。数据泄露的核心是异常数据传输。A选项可能是正常清理，

C选项是暴力破解，D选项是恶意软件行为。知识点：数据泄露检测。易