1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 行业资料
  5. 公共安全/安全评价

2025年信息系统安全专家威胁情报在威胁狩猎中的应用专题试卷及解析.docxVIP

2025年信息系统安全专家威胁情报在威胁狩猎中的应用专题试卷及解析.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    2025年信息系统安全专家威胁情报在威胁狩猎中的应用专题试卷及解析

    2025年信息系统安全专家威胁情报在威胁狩猎中的应用专题试卷及解析

    第一部分:单项选择题(共10题,每题2分)

    1、在威胁狩猎中,威胁情报的主要作用是什么?

    A、替代传统的安全防护措施

    B、提供攻击者的TTPs(战术、技术和程序)信息

    C、修复系统漏洞

    D、生成恶意软件签名

    【答案】B

    【解析】正确答案是B。威胁情报的核心价值在于提供攻击者的TTPs信息,帮助威胁狩猎人员主动发现潜在威胁。A选项错误,威胁情报是传统防护的补充而非替代;C选项属于漏洞管理范畴;D选项是反病毒软件的功能。知识点:威胁情报的核心价值。易错点:混淆威胁情报与具体安全工具的功能。

    2、下列哪项属于战略级威胁情报?

    A、特定恶意软件的哈希值

    B、某APT组织的攻击目标偏好

    C、实时告警日志

    D、防火墙拦截规则

    【答案】B

    【解析】正确答案是B。战略级情报关注宏观趋势和长期威胁,如APT组织的攻击目标偏好。A、C、D均属于战术级情报。知识点:威胁情报分级。易错点:将具体技术指标误判为战略情报。

    3、威胁狩猎中假设驱动方法的关键步骤是?

    A、等待告警触发

    B、基于情报提出攻击假设并验证

    C、全面扫描所有日志

    D、依赖自动化工具分析

    【答案】B

    【解析】正确答案是B。假设驱动法要求基于情报构建攻击假设并主动验证。A是被动响应;C缺乏针对性;D过度依赖工具。知识点:威胁狩猎方法论。易错点:混淆主动狩猎与被动监测。

    4、STIX/TAXII标准主要用于解决什么问题?

    A、加密通信

    B、威胁情报的标准化共享

    C、日志存储格式

    D、漏洞评分

    【答案】B

    【解析】正确答案是B。STIX/TAXII是威胁情报结构化表示和交换的标准。A属于TLS范畴;C是Syslog等解决的问题;D是CVSS的功能。知识点:威胁情报标准。易错点:与其他安全标准混淆。

    5、在威胁狩猎中,IOC(失陷指标)的主要局限性是?

    A、无法量化威胁等级

    B、容易被攻击者修改

    C、缺乏时效性

    D、仅能检测已知威胁

    【答案】D

    【解析】正确答案是D。IOC本质上是已知威胁的特征值,无法检测未知威胁。A、B、C虽也是问题但非核心局限。知识点:IOC的局限性。易错点:忽视IOC的已知威胁本质。

    6、威胁情报生命周期中处理阶段的主要任务是?

    A、收集原始数据

    B、清洗和结构化数据

    C、分发情报产品

    D、评估情报价值

    【答案】B

    【解析】正确答案是B。处理阶段负责将原始数据转化为可用情报。A是收集阶段;C是分发阶段;D是评估阶段。知识点:威胁情报生命周期。易错点:混淆各阶段顺序。

    7、威胁狩猎中基于情报的狩猎与无假设狩猎的主要区别是?

    A、前者需要外部情报支持

    B、后者更依赖自动化工具

    C、前者更关注已知威胁

    D、后者需要更多存储资源

    【答案】A

    【解析】正确答案是A。基于情报的狩猎明确依赖外部情报输入。B、D非本质区别;C错误,情报也可用于发现未知威胁变种。知识点:威胁狩猎分类。易错点:过度简化两类方法的目标差异。

    8、威胁情报中钻石模型主要用于分析?

    A、恶意软件行为

    B、攻击事件的基本要素关系

    C、漏洞利用链

    D、网络流量模式

    【答案】B

    【解析】正确答案是B。钻石模型通过adversary、capability、infrastructure、victim四要素分析事件关系。A是沙箱分析;C是KillChain;D是流量分析。知识点:威胁分析模型。易错点:与其他分析模型混淆。

    9、在威胁狩猎中,威胁情报的可操作性主要体现在?

    A、情报来源权威性

    B、能直接转化为检测规则

    C、数据量充足

    D、更新频率高

    【答案】B

    【解析】正确答案是B。可操作性指情报能直接用于安全检测或响应。A、C、D虽重要但非核心。知识点:威胁情报质量维度。易错点:将质量指标与可操作性混淆。

    10、威胁狩猎团队最需要关注的情报类型是?

    A、历史攻击数据

    B、实时威胁指标

    C、攻击者的TTPs

    D、漏洞公告

    【答案】C

    【解析】正确答案是C。TTPs能帮助发现未知攻击模式,是狩猎的核心依据。A、B、D虽有用但非最关键。知识点:威胁狩猎需求。易错点:重视技术指标而忽视行为模式。

    第二部分:多项选择题(共10题,每题2分)

    1、威胁情报在威胁狩猎中的典型应用场景包括?

    A、构建攻击假设

    B、优化检测规则

    C、识别攻击基础设施

    D、评估安全控制有效性

    E、生成用户行为基线

    【答案】A、B、C、D

    【解析】A、B、C、D都是情报的直接应用;E属于UEBA范畴。知识点:威胁情报应用场景。易错点:将所有安全分析功能都归为情报应用。

    2、高质量威胁情报应具备的特征包括?

    A、准确性

    B、及时性

    C、相关性

    D、可读性

    E、数据量大

    【答案】A、B、C、D

    【解析】A、B、C、D是公认

    您可能关注的文档

    最近下载

    文档评论(0)

    文章交流借鉴 + 关注
    实名认证
    文档贡献者

    妙笔如花

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >