2025年信息系统安全专家SIEM系统架构与部署专题试卷及解析.pdfVIP

2025年信息系统安全专家SIEM系统架构与部署专题试卷及解析1

2025年信息系统安全专家SIEM系统架构与部署专题试卷

及解析

2025年信息系统安全专家SIEM系统架构与部署专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM系统中，以下哪个组件主要负责从各种数据源收集日志和事件数据？

A、事件关联引擎

B、数据收集器/代理

C、用户界面

D、数据库存储

【答案】B

【解析】正确答案是B。数据收集器/代理（DataCollector/Agent）是SIEM系统中

专门负责从各种数据源（如防火墙、服务器、应用程序等）收集日志和事件数据的组件。

A选项事件关联引擎负责分析收集到的数据，C选项用户界面用于展示信息和交互，D

选项数据库存储用于保存数据。知识点：SIEM系统基本组件。易错点：容易混淆数据

收集和事件关联的功能。

2、SIEM系统中的“事件关联”主要目的是什么？

A、存储原始日志数据

B、将多个看似无关的事件关联起来，发现潜在的安全威胁

C、生成用户友好的报告

D、管理用户权限

【答案】B

【解析】正确答案是B。事件关联是SIEM的核心功能之一，它通过分析来自不同

源的事件，识别它们之间的时间和逻辑关系，从而发现单个事件无法揭示的复杂攻击模

式。A是存储功能，C是报告功能，D是管理功能。知识点：SIEM核心功能。易错点：

可能误认为关联只是简单的数据聚合。

3、在部署SIEM系统时，以下哪项通常是最初的、也是最关键的步骤？

A、配置复杂的关联规则

B、定义明确的数据源和日志收集策略

C、设计华丽的仪表盘

D、进行全员安全意识培训

【答案】B

【解析】正确答案是B。没有数据，SIEM就是无源之水。因此，在部署初期，最关

键的是确定需要监控哪些资产（数据源），以及如何从这些源获取日志（收集策略）。A、

2025年信息系统安全专家SIEM系统架构与部署专题试卷及解析2

C、D都是在有数据基础之后才能有效进行的工作。知识点：SIEM部署流程。易错点：

急于求成，跳过数据规划直接进行规则配置。

4、以下哪种类型的攻击最依赖SIEM系统的事件关联能力来检测？

A、简单的端口扫描

B、已知的病毒文件哈希匹配

C、多阶段的APT攻击

D、失败的登录尝试

【答案】C

【解析】正确答案是C。高级持续性威胁（APT）攻击通常由一系列低危害、跨越

长时间的事件组成，单个事件难以察觉。SIEM的事件关联能力能将这些分散的事件串

联起来，还原攻击链。A、B、D都可以通过单一事件或简单规则检测。知识点：SIEM

应用场景。易错点：认为SIEM只能检测明显的攻击行为。

5、SIEM系统中的“时间窗口”在事件关联中通常指什么？

A、系统运行的总时长

B、日志保留的时间周期

C、允许两个或多个事件发生的时间间隔，用于判断它们是否相关

D、用户会话的超时时间

【答案】C

【解析】正确答案是C。在定义关联规则时，时间窗口是一个关键参数，它规定了

系统在多长时间内寻找符合规则的事件序列。例如，“在5分钟内检测到3次失败登录

后紧接着一次成功登录”。A是系统运行时间，B是数据保留策略，D是会话管理。知

识点：SIEM关联规则配置。易错点：混淆时间窗口与日志保留周期。

6、在SIEM架构中，将数据收集器部署在数据源附近，而不是在SIEM核心服务

器旁，这种模式的主要好处是？

A、降低SIEM服务器的CPU负载

B、减少网络带宽占用和日志传输延迟

C、增强数据加密强度

D、简化用户界面访问

【答案】B

【解析】正确答案是B。将数据收集器（或称为日志转发器）部署在靠近数据源的

地方，可以在本地对日志进行初步处理、过滤和缓存，然后批量或压缩后发送到中心

SIEM服务器，这极大地减少了跨广域网的带宽占用和网络延迟。A、C、D不是这