2025年信息系统安全专家威胁情报在SOC中的应用与实践专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁情报在SOC中的应用与实践专题试卷及解析1

2025年信息系统安全专家威胁情报在SOC中的应用与实

践专题试卷及解析

2025年信息系统安全专家威胁情报在SOC中的应用与实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全运营中心（SOC）中，威胁情报的主要作用是什么？

A、仅用于事后取证分析

B、提供实时、可操作的威胁上下文，提升检测与响应效率

C、替代传统的安全设备日志分析

D、主要用于生成合规报告

【答案】B

【解析】正确答案是B。威胁情报的核心价值在于为SOC提供关于威胁行为者、攻

击手法、恶意指标（如IP、域名、哈希值）的实时、可操作的上下文信息。这使得安全

分析师能够更快速、更准确地识别潜在威胁（如钓鱼邮件、恶意软件通信），并采取相

应的遏制和响应措施。A选项错误，因为威胁情报不仅用于事后，更强调事前预防和事

中检测。C选项错误，威胁情报是日志分析的增强和补充，而非替代。D选项错误，虽

然情报可辅助合规，但这不是其在SOC中的主要作用。知识点：威胁情报在SOC中

的核心价值。易错点：将威胁情报的作用局限于事后分析或合规，忽略了其在主动防御

和实时响应中的关键作用。

2、下列哪项是战术级威胁情报最典型的特征？

A、关注特定攻击组织的长期战略和动机

B、提供关于特定漏洞利用代码的技术细节

C、分析全球网络安全宏观趋势

D、预测未来一年最可能流行的攻击类型

【答案】B

【解析】正确答案是B。战术级威胁情报（也称为技术级情报）专注于具体的攻击技

术、工具和程序（TTPs），以及恶意指标（IoCs），例如某个漏洞利用的具体方法、恶意软

件的网络通信协议等。这些情报可以直接用于配置安全设备（如防火墙规则、IDS/IPS

签名）和编写检测规则。A选项描述的是战略级情报。C选项描述的也是战略级情报的

范畴。D选项属于预测性战略情报。知识点：威胁情报的战略、战术、操作三级分类。

易错点：混淆不同层级情报的关注点，特别是将技术细节（战术）与宏观趋势（战略）

相混淆。

3、SOC分析师在调查一个可疑的内部网络连接时，发现其目标IP地址在一个开

源威胁情报平台（OTX）中被标记为“恶意”。此时，分析师最应该采取的首要行动是什

么？

2025年信息系统安全专家威胁情报在SOC中的应用与实践专题试卷及解析2

A、立即阻断该IP地址的所有出站连接

B、将该事件标记为“已确认”并关闭工单

C、将该情报作为上下文，结合内部日志（如进程活动、用户行为）进行关联分析

D、忽略该情报，因为开源情报不可靠

【答案】C

【解析】正确答案是C。威胁情报本身是一个线索，而非确凿的证据。一个IP被标

记为恶意，可能是因为它曾被用于分发恶意软件，但也可能是一个被污染的动态IP或

CDN节点。因此，SOC分析师的首要行动是将这一外部情报与内部上下文（如哪个进

程发起的连接、哪个用户在使用、连接时间等）进行关联分析，以判断该行为在当前环

境中是否真正构成威胁。A选项过于激进，可能导致业务中断。B选项草率，缺乏验证。

D选项过于绝对，开源情报是重要的参考来源，关键在于如何验证和使用。知识点：威

胁情报的验证与关联分析。易错点：盲目信任或完全否定外部威胁情报，缺乏结合内部

环境进行验证的批判性思维。

4、在威胁情报的生命周期中，“处理”阶段主要指的是什么？

A、从各种来源收集原始数据

B、将原始数据转化为结构化、标准化的格式，并进行去重和验证

C、将分析后的情报分发给相关方

D、对情报的有效性进行反馈和评估

【答案】B

【解析】正确答案是B。威胁情报生命周期通常包括：方向、收集、处理、分析、分

发和反馈（或评估）。“处理”阶段紧随“收集”阶段之后，其核心任务是对收集到的原始、

异构的数据进行清洗、去重、解码、翻译和标准化（例如，将不同格式的IP地址列表

统一为一种格式），使其适合后续的分析工作。A选项是“收集”阶段。C选项是“分发”

阶段。D选项是“反馈”或“评估”阶段。知识点：威