2025年信息系统安全专家安全信息与事件管理平台建设专题试卷及解析.pdfVIP

2025年信息系统安全专家安全信息与事件管理平台建设专题试卷及解析1

2025年信息系统安全专家安全信息与事件管理平台建设专

题试卷及解析

2025年信息系统安全专家安全信息与事件管理平台建设专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM平台建设中，下列哪项是日志采集的首要原则？

A、采集所有系统日志

B、确保日志的完整性和真实性

C、优先采集安全设备日志

D、实时采集所有日志

【答案】B

【解析】正确答案是B。日志采集的首要原则是确保日志的完整性和真实性，这是

后续分析和响应的基础。A选项过于理想化，实际中需要根据重要性和存储成本进行取

舍；C选项虽然重要但不是首要原则；D选项实时采集所有日志不现实且成本过高。知

识点：日志采集基本原则。易错点：容易误选C，认为安全设备日志最重要。

2、SIEM平台中，关联分析的主要目的是什么？

A、存储大量日志数据

B、发现潜在的安全威胁

C、生成合规报告

D、管理用户权限

【答案】B

【解析】正确答案是B。关联分析通过将不同来源的日志事件进行关联，识别出单

个事件无法发现的复杂攻击模式。A是数据存储功能；C是报告功能；D是权限管理功

能。知识点：SIEM核心功能。易错点：容易混淆关联分析与报告生成功能。

3、在SIEM平台部署中，“数据范式化”是指什么？

A、压缩日志数据

B、将不同格式的日志统一为标准格式

C、删除重复日志

D、加密敏感数据

【答案】B

【解析】正确答案是B。数据范式化是将不同来源、不同格式的日志转换为统一的

标准格式，便于后续分析。A是数据压缩；C是去重；D是加密处理。知识点：SIEM

数据处理流程。易错点：容易误选C，认为范式化就是去重。

4、下列哪项不属于SIEM平台的典型告警级别？

A、信息

2025年信息系统安全专家安全信息与事件管理平台建设专题试卷及解析2

B、警告

C、致命

D、调试

【答案】D

【解析】正确答案是D。SIEM平台通常使用信息、警告、严重、致命等告警级别，

调试是软件开发中的日志级别，不适用于安全告警。知识点：告警级别分类。易错点：

容易混淆安全告警级别与系统日志级别。

5、SIEM平台中的”威胁情报”主要用于什么？

A、存储历史攻击数据

B、提供已知威胁的实时更新

C、生成用户行为基线

D、管理防火墙规则

【答案】B

【解析】正确答案是B。威胁情报提供已知恶意IP、域名、文件哈希等实时更新信

息，用于增强威胁检测能力。A是历史数据；C是UEBA功能；D是防火墙管理。知

识点：威胁情报应用。易错点：容易误选A，认为威胁情报就是历史数据。

6、在SIEM平台中，“时间窗口”设置的主要作用是什么？

A、控制数据保留期限

B、定义关联分析的时间范围

C、限制用户访问时间

D、设置报告生成周期

【答案】B

【解析】正确答案是B。时间窗口用于定义关联分析时考虑的事件时间范围，过短

可能漏检，过长可能产生误报。A是数据保留策略；C是访问控制；D是报告调度。知

识点：关联分析参数配置。易错点：容易混淆时间窗口与数据保留期限。

7、下列哪项是SIEM平台与SOAR平台的主要区别？

A、SIEM只收集日志，SOAR只执行响应

B、SIEM侧重检测，SOAR侧重响应自动化

C、SIEM用于合规，SOAR用于安全

D、SIEM是开源的，SOAR是商业的

【答案】B

【解析】正确答案是B。SIEM核心是安全信息与事件管理，侧重检测；SOAR是

安全编排自动化与响应，侧重响应自动化。A表述过于绝对；C两者都可用于合规和安

全；D开源/商业不是本质区别。知识点：SIEM与SOAR区别。易错点：容易误选A，

认为两者功能完全分离。

2025年信息系统安全专家安