2025年信息系统安全专家安全编排与EDR系统集成专题试卷及解析.pdfVIP

2025年信息系统安全专家安全编排与EDR系统集成专题试卷及解析1

2025年信息系统安全专家安全编排与EDR系统集成专题

试卷及解析

2025年信息系统安全专家安全编排与EDR系统集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全编排、自动化与响应（SOAR）平台中，以下哪个组件主要负责将外部威

胁情报与内部事件数据进行关联分析？

A、Playbook执行引擎

B、威胁情报集成模块

C、案例管理系统

D、工单自动化模块

【答案】B

【解析】正确答案是B。威胁情报集成模块是SOAR平台的核心组件之一，专门负

责获取、处理和关联外部威胁情报与内部安全事件数据，从而增强威胁检测和响应能

力。选项A（Playbook执行引擎）主要负责自动化工作流的执行；选项C（案例管理系

统）侧重于安全事件的跟踪和管理；选项D（工单自动化模块）主要负责工单的创建和

流转。知识点：SOAR平台核心组件功能。易错点：容易混淆Playbook执行引擎与威

胁情报集成模块的功能，前者关注流程自动化，后者关注数据关联。

2、EDR（端点检测与响应）系统在检测到恶意行为时，以下哪种响应动作最能体

现“实时遏制”的特点？

A、生成告警日志

B、隔离受感染端点

C、发送邮件通知管理员

D、记录行为轨迹

【答案】B

【解析】正确答案是B。隔离受感染端点是EDR系统实现实时遏制的关键动作，能

够立即阻止恶意行为在端点或网络中的扩散。选项A、C、D均为响应动作，但属于事

后记录或通知，无法实时遏制威胁。知识点：EDR系统的响应机制。易错点：容易将

“实时遏制”与“事后记录”混淆，需注意响应动作的时效性。

3、在SOAR与EDR系统集成中，以下哪种协议最适合用于实现实时事件数据的

传输？

A、HTTPS

B、Syslog

C、STIX/TAXII

D、SNMP

2025年信息系统安全专家安全编排与EDR系统集成专题试卷及解析2

【答案】C

【解析】正确答案是C。STIX（结构化威胁信息表达式）和TAXII（可信自动化

情报交换）是专门用于威胁情报共享和事件数据传输的标准协议，非常适合SOAR与

EDR系统的集成。选项A（HTTPS）适合加密通信但不适合结构化数据传输；选项B

（Syslog）主要用于日志传输；选项D（SNMP）主要用于网络设备监控。知识点：SOAR

与EDR集成的通信协议。易错点：容易忽略STIX/TAXII的专业性，误选通用协议如

HTTPS。

4、以下哪个功能是SOAR平台与SIEM系统集成的核心目标？

A、增强端点检测能力

B、实现威胁情报自动化共享

C、优化事件响应流程

D、提升网络流量分析能力

【答案】C

【解析】正确答案是C。SOAR与SIEM集成的核心目标是通过自动化工作流优化

事件响应流程，减少人工干预。选项A是EDR的功能；选项B是威胁情报平台的功

能；选项D是网络分析工具的功能。知识点：SOAR与SIEM的集成目标。易错点：容

易将SOAR的功能与SIEM的功能混淆，需明确SOAR侧重响应自动化。

5、在EDR系统中，以下哪种技术最常用于检测无文件攻击？

A、特征码匹配

B、行为分析

C、沙箱检测

D、端口扫描

【答案】B

【解析】正确答案是B。行为分析技术通过监控端点的异常行为（如进程注入、内

存修改）来检测无文件攻击，而特征码匹配和沙箱检测对无文件攻击效果有限。选项D

（端口扫描）与无文件攻击无关。知识点：EDR的检测技术。易错点：容易误选特征码

匹配，但无文件攻击通常无固定特征。

6、SOAR平台中的Playbook主要用于实现以下哪个目标？

A、存储威胁情报

B、自动化响应流程

C、分析网络流量

D、管理端点设