2025年信息系统安全专家零信任环境下的用户行为分析（UEBA）专题试卷及解析.pdfVIP

2025年信息系统安全专家零信任环境下的用户行为分析（UEBA）专题试卷及解析1

2025年信息系统安全专家零信任环境下的用户行为分析

（UEBA）专题试卷及解析

2025年信息系统安全专家零信任环境下的用户行为分析（UEBA）专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构中，UEBA系统主要关注以下哪个核心要素？

A、网络边界防护

B、用户身份验证

C、行为基线建立

D、数据加密传输

【答案】C

【解析】正确答案是C。UEBA（用户和实体行为分析）的核心是通过建立正常行为

基线来检测异常行为。A选项是传统边界安全概念，B选项是身份管理范畴，D选项是

数据安全措施。知识点：UEBA核心原理。易错点：容易将UEBA与零信任其他组成

部分混淆。

2、以下哪种行为特征最可能被UEBA系统标记为高风险异常？

A、用户在非工作时间登录

B、用户突然访问大量敏感文件

C、用户使用新设备登录

D、用户密码输入错误

【答案】B

【解析】正确答案是B。突然大量访问敏感文件是典型的数据泄露前兆行为，风险

等级最高。A和C是常见异常但风险较低，D是认证问题而非行为异常。知识点：异

常行为风险分级。易错点：容易将所有异常行为等同看待。

3、在零信任环境中，UEBA系统最理想的部署位置是？

A、网络边界

B、终端设备

C、数据中心

D、分布式部署

【答案】D

【解析】正确答案是D。零信任架构要求无处不在的安全监控，UEBA需要分布式

部署才能覆盖所有访问点。A、B、C都是局部部署，不符合零信任理念。知识点：零信

任架构特点。易错点：容易沿用传统集中式部署思维。

4、UEBA系统进行行为分析时，最不依赖的数据源是？

A、系统日志

2025年信息系统安全专家零信任环境下的用户行为分析（UEBA）专题试卷及解析2

B、网络流量

C、生物特征

D、应用访问记录

【答案】C

【解析】正确答案是C。生物特征主要用于身份认证，UEBA更关注行为模式数据。

A、B、D都是行为分析的重要数据源。知识点：UEBA数据源类型。易错点：容易将

认证数据与行为数据混淆。

5、以下哪种技术对UEBA系统的检测能力提升最显著？

A、规则引擎

B、机器学习

C、签名匹配

D、端口扫描

【答案】B

【解析】正确答案是B。机器学习能自动发现复杂行为模式，是现代UEBA的核心

技术。A是传统方法，C用于已知威胁检测，D是网络扫描技术。知识点：UEBA技术

演进。易错点：容易低估机器学习的作用。

6、在零信任环境中，UEBA系统检测到异常后的最佳响应方式是？

A、立即阻断访问

B、触发多因素认证

C、记录日志

D、发送警报

【答案】B

【解析】正确答案是B。零信任强调持续验证，触发MFA是平衡安全与体验的最佳

选择。A过于激进，C和D响应不足。知识点：零信任响应策略。易错点：容易采取

极端响应措施。

7、UEBA系统建立行为基线时，最关键的考虑因素是？

A、数据量大小

B、时间窗口长度

C、用户角色差异

D、系统性能

【答案】C

【解析】正确答案是C。不同角色的行为模式差异很大，必须分别建模。A、B、D

是技术因素但不是核心。知识点：行为基线建模原则。易错点：容易忽视角色差异的重

要性。

8、以下哪种场景最适合应用UEBA技术？

2025年信息系统安全专家零信任环境下的用户行为分析（UEBA）专题试卷及解析3

A、DDoS攻击检测

B、内部威胁检测

C、病毒查杀

D、防火墙配置

【答案】B

【解析】正确答案是B。UEBA擅长检测内部人员的异常行为。A是网络层攻击，C

是终端安全，D是网络配置。知识点：UEBA应用场景。易错点：容易扩大UEBA的

应用范围。

9、在零信任环境中，UEBA系统与SIEM系统的关系是？

A、相互替代

B、完全独立

C、互补协作