2025年信息系统安全专家威胁狩猎与SIEM结合应用专题试卷及解析.docxVIP

2025年信息系统安全专家威胁狩猎与SIEM结合应用专题试卷及解析

2025年信息系统安全专家威胁狩猎与SIEM结合应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎活动中，SIEM系统最核心的作用是什么？

A、修复已知漏洞

B、存储原始日志数据

C、集中收集、关联分析安全事件

D、生成钓鱼邮件

【答案】C

【解析】正确答案是C。SIEM（安全信息和事件管理）的核心价值在于将来自不同源的安全日志和事件进行集中收集，并通过规则引擎和关联分析能力，发现潜在的威胁模式，这正是威胁狩猎所需的数据基础和分析能力。A选项是漏洞管理系统的功能；B选项是日志管理系统的基本功能，但SIEM的价值远不止存储；D选项是攻击者的行为，与SIEM功能无关。知识点：SIEM核心功能。易错点：容易将SIEM与单纯的日志存储系统混淆，忽略了其关键的关联分析能力。

2、假设性驱动的威胁狩猎（HypothesisdrivenThreatHunting）通常始于什么？

A、等待SIEM产生高优先级告警

B、基于威胁情报、攻击框架或历史事件提出一个攻击假设

C、对所有日志进行无差别的人工审查

D、部署新的防火墙规则

【答案】B

【解析】正确答案是B。假设性驱动的威胁狩猎是一种主动的、有针对性的狩猎方法，它首先根据MITREATTCK框架、最新的威胁情报或组织内曾发生的安全事件，构建一个“攻击者可能正在使用某种TTP（战术、技术和过程）”的假设，然后利用SIEM等工具去验证这个假设。A选项是被动响应，而非主动狩猎；C选项效率极低，不切实际；D选项是安全加固措施，与狩猎过程不同。知识点：威胁狩猎方法论。易错点：将威胁狩猎与日常的告警响应混淆，未能理解其“主动假设”的核心思想。

3、在SIEM中，用于检测“横向移动”攻击阶段的典型规则或查询，最可能关注以下哪种行为模式？

A、单个用户在短时间内多次登录失败

B、同一账户在短时间内从多个不同地理位置的IP地址成功登录

C、大量数据向外部未知IP地址传输

D、管理员账户在非工作时间修改系统配置

【答案】B

【解析】正确答案是B。横向移动是指攻击者在攻陷一台主机后，尝试利用该主机作为跳板，访问网络内的其他主机。同一账户在短时间内从多个不同地理位置的IP地址登录，是攻击者使用被盗凭证从不同跳板机进行尝试的典型特征。A选项更可能是暴力破解攻击；C选项是数据窃取行为；D选项是权限提升或持久化行为。知识点：MITREATTCK框架中的横向移动战术。易错点：容易将不同攻击阶段的行为特征混淆，需要准确理解各阶段的核心目标。

4、威胁狩猎团队在SIEM中发现了一系列异常的PowerShell活动，但并未触发任何告警。这最可能说明了什么？

A、SIEM系统已经失效

B、攻击者使用了未知的0day漏洞

C、现有的SIEM检测规则未能覆盖这种新型或经过混淆的攻击手法

D、PowerShell本身是安全的，无需关注

【答案】C

【解析】正确答案是C。威胁狩猎的一个重要目的就是发现现有自动化检测规则（如SIEM告警规则）无法覆盖的威胁。狩猎人员通过主动分析，发现异常但未被标记的行为，这直接表明了检测规则的盲区。A选项过于绝对，系统可能只是规则不全；B选项有可能，但更常见的是已知攻击手法的变种或混淆，不一定需要0day；D选项是错误认知，PowerShell是攻击者常用的合法工具。知识点：威胁狩猎的价值、SIEM规则的局限性。易错点：一发现异常就认为是系统崩溃或0day攻击，而忽略了更常见的规则覆盖不全的情况。

5、为了提升威胁狩猎的效率，SIEM系统应优先与以下哪类数据源进行集成？

A、仅网络防火墙日志

B、仅终端杀毒软件日志

C、终端检测与响应（EDR）数据和全流量数据

D、仅操作系统日志

【答案】C

【解析】正确答案是C。有效的威胁狩猎需要多维度的数据来还原攻击全貌。EDR提供了终端层面的详细行为（进程、文件、注册表操作），而全流量数据则提供了网络层面的通信内容。将这两者与SIEM结合，可以实现端到端的关联分析，极大提升狩猎的深度和广度。A、B、D选项都只提供了单一维度的数据，视野受限，容易遗漏攻击链条中的关键环节。知识点：SIEM数据源集成策略。易错点：认为单一类型的数据源就足够，忽视了现代攻击的复杂性和多阶段特性。

6、在威胁狩猎流程中，当SIEM的查询结果验证了最初的攻击假设后，下一步应该做什么？

A、立即删除所有相关日志

B、将发现的过程和指标固化为新的检测规则，并开展应急响应

C、忽略该发现，继续寻找其他威胁

D、重启SIEM服务

【答案】B

【解析】正确答案是B。威胁狩猎的最终目的是将发现的未知威胁转化为已知的、可自动检测的威胁。当假设被验证，说明找到了一种有效的攻击手法。此时应将这种手法的特征（如I