2025年信息系统安全专家零信任架构下的安全编排与自动化响应（SOAR）专题试卷及解析.pdfVIP

2025年信息系统安全专家零信任架构下的安全编排与自动化响应（SOAR）专题试卷及解析1

2025年信息系统安全专家零信任架构下的安全编排与自动

化响应（SOAR）专题试卷及解析

2025年信息系统安全专家零信任架构下的安全编排与自动化响应（SOAR）专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构中，SOAR系统最核心的价值体现在哪个方面？

A、替代所有安全设备

B、实现安全事件的自动化响应与编排

C、提供网络加密功能

D、存储所有安全日志

【答案】B

【解析】正确答案是B。SOAR（安全编排与自动化响应）的核心价值在于通过自动

化流程和编排能力，快速响应安全事件，减少人工干预时间。A选项错误，SOAR是协

调而非替代安全设备；C选项属于加密技术范畴；D选项是SIEM系统的功能。知识

点：SOAR核心功能。易错点：容易混淆SOAR与SIEM的功能边界。

2、零信任架构中，SOAR与IAM系统的集成主要解决什么问题？

A、网络流量监控

B、身份验证与权限动态调整

C、恶意代码检测

D、数据备份恢复

【答案】B

【解析】正确答案是B。SOAR与IAM（身份与访问管理）集成可实现基于风险的

动态权限调整，符合零信任”永不信任，始终验证”原则。A选项是NDR功能；C选项属

于EDR范畴；D选项是灾备技术。知识点：零信任身份管理。易错点：容易忽略SOAR

在身份治理中的联动作用。

3、以下哪个不是SOAR平台的关键组件？

A、剧本引擎

B、威胁情报集成模块

C、硬件防火墙

D、案例管理界面

【答案】C

【解析】正确答案是C。SOAR是软件平台，硬件防火墙属于网络设备。A、B、D

都是SOAR标准组件，分别负责自动化执行、情报支撑和事件追踪。知识点：SOAR架

构组成。易错点：容易将安全设备与SOAR组件混淆。

2025年信息系统安全专家零信任架构下的安全编排与自动化响应（SOAR）专题试卷及解析2

4、在零信任环境下，SOAR处理可疑登录事件时，首先应该执行哪个动作？

A、立即阻断IP

B、验证多因素认证

C、删除用户账户

D、通知合规部门

【答案】B

【解析】正确答案是B。零信任强调持续验证，可疑登录应优先强化认证而非直接

阻断。A选项过于激进；C选项违反最小权限原则；D选项是后续流程。知识点：零信

任响应策略。易错点：容易忽视响应动作的优先级。

5、SOAR平台中的”剧本”（Playbook）主要指什么？

A、安全策略文档

B、自动化响应流程

C、网络拓扑图

D、用户培训材料

【答案】B

【解析】正确答案是B。剧本是SOAR中预定义的自动化响应流程，如恶意软件清

除步骤。A选项是策略文件；C选项属于网络管理；D选项是培训资料。知识点：SOAR

剧本机制。易错点：容易混淆剧本与普通文档的区别。

6、零信任架构中，SOAR如何提升威胁检测效率？

A、增加日志存储容量

B、通过关联分析缩短MTTD

C、简化网络架构

D、减少安全设备数量

【答案】B

【解析】正确答案是B。SOAR通过关联多源数据实现快速威胁检测，缩短平均检

测时间（MTTD）。A选项是存储优化；C选项是架构设计；D选项可能降低防护能力。

知识点：SOAR检测能力。易错点：容易忽略关联分析的价值。

7、以下哪个场景最适合SOAR自动化处理？

A、APT攻击溯源

B、恶意邮件批量隔离

C、物理安全检查

D、安全预算规划

【答案】B

【解析】正确答案是B。批量邮件隔离是标准化操作，适合SOAR自动化。A选项

需要人工分析；C选项属于物理安全；D选项是管理决策。知识点：SOAR适用场景。

2025年信息系统安全专家零信任架构下的安全编排与自动化响应（SOAR）专题试卷及解析3

易错点：容易高估SOAR的自动化范围。

8、零信任环境下，SOAR与微隔离技术的结合点是什么？

A、网络流量整形

B