2025年信息系统安全专家安全编排与SIEM系统对接技术专题试卷及解析.pdfVIP

2025年信息系统安全专家安全编排与SIEM系统对接技术专题试卷及解析1

2025年信息系统安全专家安全编排与SIEM系统对接技术

专题试卷及解析

2025年信息系统安全专家安全编排与SIEM系统对接技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全编排、自动化与响应（SOAR）平台中，与SIEM系统对接的核心目的是

什么？

A、提高网络带宽利用率

B、实现安全事件的自动化响应与处置

C、优化数据库查询性能

D、增强用户身份认证机制

【答案】B

【解析】正确答案是B。SOAR与SIEM对接的核心价值在于将SIEM检测到的安

全事件自动触发SOAR中预定义的响应剧本（Playbook），实现从告警到处置的闭环自

动化。A选项与安全编排无关，C选项属于数据库优化范畴，D选项是身份管理功能。

知识点：SOAR与SIEM集成价值。易错点：容易混淆SOAR的功能边界，误认为其

负责事件检测（实际是SIEM的功能）。

2、以下哪种协议最适合用于SIEM系统与第三方安全工具之间的实时日志传输？

A、FTP

B、Syslog

C、HTTP

D、SMTP

【答案】B

【解析】正确答案是B。Syslog是行业标准协议，专门用于网络设备、服务器和安全

设备的事件日志传输，具有轻量级、实时性强的特点，是SIEM接收日志的首选协议。

A选项FTP主要用于文件传输，实时性差；C选项HTTP虽通用但非日志专用；D选

项SMTP用于邮件传输。知识点：日志传输协议选择。易错点：可能误选HTTP，因

其应用广泛，但忽略了Syslog在日志领域的专业性。

3、在SOAR剧本设计中，“条件判断”环节通常用于什么场景？

A、数据加密

B、根据事件属性选择不同处置路径

C、生成告警报告

D、存储日志数据

【答案】B

2025年信息系统安全专家安全编排与SIEM系统对接技术专题试卷及解析2

【解析】正确答案是B。条件判断是SOAR剧本的关键逻辑节点，用于根据事件的

类型、严重性、来源等属性动态决定后续执行的动作分支，实现差异化响应。A、C、D

选项分别属于数据处理、报告生成和数据存储功能，与条件判断无关。知识点：SOAR

剧本逻辑设计。易错点：容易将条件判断与具体动作混淆，需明确其决策作用。

4、SIEM系统中的”关联规则”主要用于解决什么问题？

A、数据压缩

B、从分散事件中识别攻击链

C、用户权限分配

D、网络流量整形

【答案】B

【解析】正确答案是B。关联规则通过分析不同来源、时间序列的事件之间的逻辑

关系，能够识别出单个事件无法发现的复杂攻击行为（如横向移动、多阶段攻击）。A

选项属于存储优化，C选项是IAM功能，D选项是网络管理功能。知识点：SIEM关

联分析原理。易错点：可能误认为关联规则仅用于简单告警聚合，而忽略其攻击链识别

的核心价值。

5、SOAR平台与威胁情报平台对接时，最常用的数据格式是？

A、PDF

B、STIX/TAXII

C、CSV

D、JPEG

【答案】B

【解析】正确答案是B。STIX（结构化威胁信息表达式）和TAXII（可信自动化情

报交换）是威胁情报领域的国际标准格式和协议，专门用于结构化地描述和交换威胁情

报数据。A、C、D选项分别属于文档、表格和图片格式，不适合威胁情报的机器解析。

知识点：威胁情报交换标准。易错点：可能因熟悉CSV而误选，但忽略了STIX在威

胁情报领域的专业性。

6、在SIEM与SOAR对接过程中，“告警富化”（AlertEnrichment）指的是？

A、增加告警数量

B、补充上下文信息（如资产价值、用户权限）

C、删除冗余告警

D、加密告警内容

【答案】B

【解析】正确答案是B。告警富化是通过关联CMDB、IAM等外部