2025年信息系统安全专家安全事件取证与SIEM结合专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件取证与SIEM结合专题试卷及解析1

2025年信息系统安全专家安全事件取证与SIEM结合专题

试卷及解析

2025年信息系统安全专家安全事件取证与SIEM结合专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全事件取证中，SIEM系统主要用于以下哪个环节？

A、数据加密

B、日志收集与关联分析

C、漏洞扫描

D、密码破解

【答案】B

【解析】正确答案是B。SIEM（安全信息和事件管理）系统的核心功能是收集来自

不同设备和系统的日志，并进行关联分析，以发现潜在的安全威胁。A选项数据加密是

数据保护技术，与SIEM无关；C选项漏洞扫描是主动安全评估工具；D选项密码破

解是取证中的特定技术，非SIEM功能。知识点：SIEM系统功能。易错点：容易混淆

SIEM与漏洞扫描或加密工具的功能。

2、在SIEM系统中，以下哪种日志类型最有助于检测横向移动攻击？

A、防火墙日志

B、DNS查询日志

C、VPN登录日志

D、数据库审计日志

【答案】B

【解析】正确答案是B。DNS查询日志可以记录攻击者在内网中探测其他主机和服

务的行为，是检测横向移动的关键数据源。A选项防火墙日志主要记录网络流量；C选

项VPN登录日志记录远程访问；D选项数据库审计日志记录数据库操作。知识点：横

向移动攻击检测。易错点：容易忽视DNS日志在横向移动检测中的重要性。

3、在安全事件取证中，以下哪种证据的证明力最强？

A、内存镜像

B、网络流量包

C、系统日志

D、硬盘镜像

【答案】D

【解析】正确答案是D。硬盘镜像包含了完整的文件系统和数据，是最全面的证据

类型，证明力最强。A选项内存镜像易失性高；B选项网络流量包可能不完整；C选项

2025年信息系统安全专家安全事件取证与SIEM结合专题试卷及解析2

系统日志可能被篡改。知识点：证据类型与证明力。易错点：容易混淆不同证据类型的

证明力等级。

4、SIEM系统中的“规则引擎”主要用于什么？

A、数据存储

B、实时告警生成

C、用户界面渲染

D、日志格式转换

【答案】B

【解析】正确答案是B。规则引擎是SIEM系统的核心组件，用于根据预定义规则

实时分析日志并生成告警。A选项数据存储由数据库完成；C选项用户界面渲染由前端

完成；D选项日志格式转换由日志解析器完成。知识点：SIEM系统架构。易错点：容

易混淆规则引擎与其他组件的功能。

5、在取证分析中，以下哪种技术可以恢复已删除的文件？

A、内存分析

B、文件签名扫描

C、网络流量分析

D、日志关联分析

【答案】B

【解析】正确答案是B。文件签名扫描通过识别文件头和尾信息来恢复已删除的文

件。A选项内存分析用于运行时状态分析；C选项网络流量分析用于网络行为分析；D

选项日志关联分析用于事件关联。知识点：文件恢复技术。易错点：容易混淆文件恢复

与其他取证技术。

6、SIEM系统中的“时间窗口”设置主要用于什么？

A、控制日志存储时间

B、限定关联分析的时间范围

C、设置告警响应时间

D、定义用户会话超时

【答案】B

【解析】正确答案是B。时间窗口用于限定关联分析的时间范围，确保相关事件在

合理时间内被关联。A选项日志存储时间由数据保留策略控制；C选项告警响应时间由

工作流配置；D选项用户会话超时由认证系统设置。知识点：SIEM关联分析。易错点：

容易混淆时间窗口与其他时间相关设置。

7、在取证中，以下哪种方法可以检测恶意软件的持久化机制？

A、网络流量分析

B、注册表分析

2025年信息系统安全专家安全事件取证与SIEM结合专题试卷及解析3

C、内存分析

D、日志分析

【答案