原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年信息系统安全专家安全运营中心威胁情报的战术、技术与过程映射专题试卷及解析
2025年信息系统安全专家安全运营中心威胁情报的战术、技术与过程映射专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在MITREATTCK框架中,攻击者通过伪造合法软件更新来植入恶意代码的行为,最可能归类于以下哪个战术?
A、持久化(Persistence)
B、防御规避(DefenseEvasion)
C、执行(Execution)
D、初始访问(InitialAccess)
【答案】D
【解析】正确答案是D。伪造软件更新属于典型的初始访问手段,攻击者通过欺骗用户执行恶意更新来获取系统访问权限。A选项持久化是指维持系统访问权限的技术;B选项防御规避是绕过安全检测的技术;C选项执行是指在目标系统上运行恶意代码。知识点:ATTCK框架的战术分类。易错点:容易混淆初始访问与执行的区别,前者强调获取访问权限,后者强调代码运行。
2、安全运营中心(SOC)在分析威胁情报时,发现某攻击组织频繁使用PowerShell无文件攻击技术。该技术主要属于ATTCK框架的哪个战术?
A、权限提升(PrivilegeEscalation)
B、横向移动(LateralMovement)
C、执行(Execution)
D、数据渗出(Exfiltration)
【答案】C
【解析】正确答案是C。PowerShell无文件攻击的核心是在内存中直接执行恶意代码,属于执行战术。A选项权限提升是获取更高权限;B选项横向移动是网络内扩散;D选项数据渗出是窃取数据。知识点:ATTCK战术与技术映射。易错点:可能误选权限提升,因为PowerShell常被用于提权,但题目强调的是执行这一核心行为。
3、威胁情报分析中,IOC(IndicatorsofCompromise)与TTP(Tactics,Techniques,andProcedures)的主要区别在于?
A、IOC是静态特征,TTP是动态行为
B、IOC是动态行为,TTP是静态特征
C、两者本质相同,只是命名不同
D、IOC用于防御,TTP用于攻击
【答案】A
【解析】正确答案是A。IOC是可观测的静态指标(如IP、哈希值),TTP描述攻击者的行为模式。B选项表述相反;C选项错误,两者有本质区别;D选项片面,两者均可用于防御。知识点:威胁情报核心概念。易错点:容易混淆两者的定义,需记住IOC是是什么,TTP是怎么做。
4、在威胁情报的生命周期中,分析阶段的主要任务是?
A、收集原始数据
B、将数据转化为可操作的情报
C、分发情报给相关方
D、评估情报的有效性
【答案】B
【解析】正确答案是B。分析阶段的核心是对原始数据进行关联、验证和解读,生成可操作的情报。A选项是收集阶段;C选项是分发阶段;D选项是反馈阶段。知识点:威胁情报生命周期。易错点:可能误选收集阶段,但题目明确问的是分析阶段。
5、某SOC团队发现攻击者通过钓鱼邮件获取初始访问权限后,使用Mimikatz工具窃取凭证。这一攻击链最符合ATTCK框架的哪个战术序列?
A、初始访问→权限提升→凭证访问
B、初始访问→凭证访问→横向移动
C、初始访问→执行→凭证访问
D、初始访问→防御规避→凭证访问
【答案】B
【解析】正确答案是B。钓鱼邮件属于初始访问,Mimikatz窃取凭证属于凭证访问,后续通常用于横向移动。A选项权限提升不是必须步骤;C选项执行不是核心;D选项防御规避与题目无关。知识点:ATTCK战术链分析。易错点:容易忽略攻击链的连贯性,需按实际攻击流程排序。
6、威胁情报平台(TIP)的核心功能不包括?
A、IOC聚合与去重
B、攻击链可视化
C、实时流量监控
D、情报评分与优先级排序
【答案】C
【解析】正确答案是C。实时流量监控是SIEM或IDS的功能,TIP专注于情报管理。A、B、D都是TIP的核心功能。知识点:威胁情报平台功能。易错点:可能误选攻击链可视化,但现代TIP通常支持此功能。
7、在STIX(StructuredThreatInformationeXpression)标准中,用于描述攻击者行为模式的数据结构是?
A、Indicator
B、Malware
C、AttackPattern
D、Tool
【答案】C
【解析】正确答案是C。AttackPattern用于描述攻击者的行为模式(即TTP)。A选项Indicator是IOC;B选项Malware是恶意软件;D选项Tool是攻击工具。知识点:STIX数据模型。易错点:容易混淆Indicator与AttackPattern,前者是静态特征,后者是行为模式。
8、SOC团队在分析威胁情报时,发现某IP地址同时出现在多个开源情报源中,但信誉评分差
您可能关注的文档
- 2025年信息系统安全专家安全编排在SIEM事件关联中的实践专题试卷及解析.docx
- 2025年信息系统安全专家安全编排在云环境中的应用专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的5G网络安全自动化专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的IoT安全合规检查专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的跨团队协作响应专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的权限动态调整专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的数据安全事件响应专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的元宇宙安全挑战专题试卷及解析.docx
- 2025年信息系统安全专家安全编排中的云配置自动化检查专题试卷及解析.docx
- 2025年信息系统安全专家安全策略、标准与规程审计专题试卷及解析.docx
文档评论(0)