2025年信息系统安全专家多云架构中的威胁狩猎专题试卷及解析.pdfVIP

2025年信息系统安全专家多云架构中的威胁狩猎专题试卷及解析1

2025年信息系统安全专家多云架构中的威胁狩猎专题试卷

及解析

2025年信息系统安全专家多云架构中的威胁狩猎专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在多云架构中，威胁狩猎活动最应关注的核心数据源是？

A、各云平台的计费日志

B、跨云环境的身份与访问管理（IAM）审计日志

C、云服务商的SLA报告

D、虚拟机的CPU使用率数据

【答案】B

【解析】正确答案是B。IAM审计日志记录了用户身份认证、权限变更、资源访问

等关键安全事件，是发现异常行为和潜在威胁的核心数据源。A选项计费日志主要用于

成本分析，C选项SLA报告关注服务可用性，D选项CPU使用率更多用于性能监控，

均非威胁狩猎的核心数据源。知识点：多云环境下的日志源选择。易错点：容易将所有

日志都视为同等重要，而忽略了威胁狩猎应聚焦于与安全行为直接相关的数据。

2、以下哪种技术最适合用于在多云环境中检测横向移动攻击？

A、静态代码分析

B、网络流量分析（NTA）

C、数据加密

D、容器镜像扫描

【答案】B

【解析】正确答案是B。横向移动攻击通常表现为异常的网络连接模式，网络流量

分析能够实时监控跨云、跨主机、跨容器的网络通信，识别异常的连接路径和协议使用，

是检测此类攻击的有效手段。A选项用于开发阶段，C选项是防护措施而非检测，D选

项关注容器初始状态安全。知识点：横向移动攻击的检测技术。易错点：可能误选D，

因为容器是多云常见组件，但镜像扫描无法检测运行时的横向移动行为。

3、在威胁狩猎模型中，基于假设的狩猎（HypothesisbasedHunting）与基于IOC

的狩猎（IOCbasedHunting）的主要区别在于？

A、前者依赖已知威胁指标，后者依赖未知威胁

B、前者是主动的，后者是被动的

C、前者需要SIEM，后者不需要

D、前者关注行为模式，后者关注具体特征

【答案】D

2025年信息系统安全专家多云架构中的威胁狩猎专题试卷及解析2

【解析】正确答案是D。基于假设的狩猎关注攻击者的行为模式和战术技术过程

（TTPs），通过构建攻击场景进行主动搜索；而基于IOC的狩猎依赖已知的威胁指标

（如恶意IP、文件哈希），是特征匹配的检测方式。A选项描述不准确，IOC也可以是

已知的未知威胁；B选项两者都可以是主动的；C选项两者都可能使用SIEM。知识点：

威胁狩猎方法论。易错点：容易混淆“主动/被动”与“行为/特征”的区别。

4、在多云环境中，实施统一威胁狩猎平台面临的最大挑战是？

A、各云平台API不兼容

B、跨云数据格式标准化

C、硬件资源不足

D、缺乏专业的狩猎人员

【答案】B

【解析】正确答案是B。不同云服务商的日志格式、事件模型、元数据定义存在差

异，实现跨云数据的标准化、关联分析是统一威胁狩猎平台的核心挑战。A选项API

不兼容可通过适配器解决，C选项硬件可扩展，D选项是普遍问题而非多云特有。知识

点：多云安全集成挑战。易错点：可能误选A，但API问题相对容易通过技术手段解

决。

5、以下哪个工具最适合用于多云环境下的威胁狩猎数据收集？

A、Nagios

B、Falco

C、OpenTelemetry

D、Wireshark

【答案】C

【解析】正确答案是C。OpenTelemetry是一个可观测性框架，支持跨云、跨应用

的数据收集标准化，能够统一收集日志、指标和追踪数据，适合威胁狩猎的广域数据需

求。A选项是监控工具，B选项专注于容器运行时安全，D选项是网络抓包工具，均不

满足多云统一收集需求。知识点：可观测性工具在威胁狩猎中的应用。易错点：可能误

选B，但Falco的适用范围较窄。

6、在威胁狩猎中，MITREATTCK框架的主要作用是？

A、提供加密算法标准

B、描述攻击者的战术、