2025年信息系统安全专家SIEM与安全事件响应集成专题试卷及解析.pdfVIP

2025年信息系统安全专家SIEM与安全事件响应集成专题试卷及解析1

2025年信息系统安全专家SIEM与安全事件响应集成专题

试卷及解析

2025年信息系统安全专家SIEM与安全事件响应集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM系统中，以下哪项功能最直接地支持安全事件响应的自动化？

A、日志收集与存储

B、实时关联分析

C、自动化剧本编排

D、用户行为分析

【答案】C

【解析】正确答案是C。自动化剧本编排（SOAR功能）能直接触发响应动作，如

隔离主机或阻断IP，是SIEM与事件响应集成的核心。A是基础功能但不直接响应，B

侧重检测而非响应，D属于分析范畴。知识点：SOAR集成原理。易错点：误选B，因

关联分析是检测前提但非响应动作。

2、SIEM系统检测到”异常登录成功”事件后，响应团队应优先执行哪项操作？

A、永久封禁源IP

B、要求用户重置密码

C、启动事件调查流程

D、忽略误报

【答案】C

【解析】正确答案是C。异常登录需先调查确认真实性，避免误操作。A可能影响

合法用户，B需在确认威胁后执行，D存在安全风险。知识点：事件响应优先级。易错

点：直接选择B而忽略调查必要性。

3、以下哪项是SIEM与安全编排自动化响应（SOAR）集成的关键优势？

A、降低日志存储成本

B、缩短平均响应时间（MTTR）

C、提升日志解析速度

D、减少告警数量

【答案】B

【解析】正确答案是B。SOAR通过自动化响应动作显著缩短MTTR。A和C属

于SIEM自身优化，D可能因规则调整实现但非集成核心价值。知识点：SOAR集成价

值。易错点：误选D，因告警减少更多依赖规则优化。

4、在SIEM规则设计中，“横向移动”检测通常依赖哪类数据源？

A、防火墙日志

2025年信息系统安全专家SIEM与安全事件响应集成专题试卷及解析2

B、身份认证日志

C、终端检测响应（EDR）日志

D、DNS查询日志

【答案】B

【解析】正确答案是B。横向移动常表现为同一账户在多台设备登录，需认证日志

关联分析。A关注网络边界，C侧重终端行为，D可辅助但非主要依据。知识点：攻击

链检测逻辑。易错点：忽略认证日志的核心作用。

5、SIEM系统中的”事件抑制”功能主要用于解决什么问题？

A、日志存储空间不足

B、重复告警风暴

C、数据源连接失败

D、规则引擎性能下降

【答案】B

【解析】正确答案是B。事件抑制可合并相同告警，避免风暴。A需数据归档策略，

C属运维问题，D需硬件优化。知识点：告警管理机制。易错点：混淆”抑制”与”过滤”

功能。

6、以下哪项指标最能衡量SIEM与事件响应集成的有效性？

A、日均日志处理量

B、告警准确率

C、平均检测时间（MTTD）

D、规则覆盖数量

【答案】C

【解析】正确答案是C。MTTD直接反映检测能力，是集成效果的核心指标。A和

D属于容量指标，B影响效率但非直接衡量集成效果。知识点：安全度量指标。易错点：

误选B，因准确率重要但未体现响应速度。

7、在SIEM系统中，“威胁情报集成”对事件响应的主要贡献是？

A、丰富日志上下文

B、提供攻击者TTPs信息

C、自动生成报告

D、优化数据索引

【答案】B

【解析】正确答案是B。威胁情报可识别已知攻击手法（TTPs），指导响应策略。A

是基础功能，C属报告模块，D属系统优化。知识点：威胁情报应用。易错点：误选A，

因上下文丰富但非响应核心。

8、SIEM规则误报率过高时，应优先采取哪项措施？

2025年信息系统安全专家SIEM与安全事件响应集成专题试卷及解析3