2025年信息系统安全专家威胁狩猎与SOAR平台集成专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎与SOAR平台集成专题试卷及解析1

2025年信息系统安全专家威胁狩猎与SOAR平台集成专

题试卷及解析

2025年信息系统安全专家威胁狩猎与SOAR平台集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎活动中，安全分析师最常使用以下哪种数据源来发现潜在的高级持

续性威胁（APT）活动？

A、防火墙访问日志

B、DNS查询日志

C、终端进程创建日志

D、Web代理日志

【答案】C

【解析】正确答案是C。终端进程创建日志能最直接地反映恶意软件在主机上的执

行行为，是发现APT活动横向移动和权限提升阶段的关键数据源。A选项防火墙日志

主要用于网络边界访问控制，B选项DNS日志可用于发现C2通信但不如终端日志直

接，D选项Web代理日志主要记录HTTP/HTTPS流量。知识点：威胁狩猎数据源选

择。易错点：容易忽视终端日志在主机行为分析中的核心地位。

2、SOAR平台的核心价值主要体现在哪个方面？

A、完全替代安全分析师

B、自动化标准化响应流程

C、生成更复杂的检测规则

D、提供更高级的加密功能

【答案】B

【解析】正确答案是B。SOAR（安全编排、自动化与响应）的核心价值在于将重复

性的安全响应流程自动化，提高响应效率。A选项错误，SOAR是辅助工具而非替代人

工；C选项是SIEM系统的功能；D选项与SOAR无关。知识点：SOAR平台定位。易

错点：容易混淆SOAR与SIEM的功能边界。

3、在MITREATTCK框架中，“T1059.001PowerShell”属于哪个战术阶段？

A、初始访问

B、执行

C、持久化

D、横向移动

【答案】B

【解析】正确答案是B。PowerShell属于执行战术，是攻击者在目标系统上运行恶

意代码的常用手段。A选项初始访问涉及入侵途径，C选项持久化关注维持访问，D选

2025年信息系统安全专家威胁狩猎与SOAR平台集成专题试卷及解析2

项横向移动指网络内扩散。知识点：ATTCK战术分类。易错点：容易混淆执行与持

久化的区别。

4、威胁狩猎团队在实施假设驱动狩猎时，首先应该做什么？

A、分析历史告警数据

B、制定狩猎假设

C、部署新的检测工具

D、升级防火墙规则

【答案】B

【解析】正确答案是B。假设驱动狩猎的核心是先建立基于威胁情报的假设，再验

证假设。A选项是数据驱动狩猎的方法；C、D选项是响应措施而非狩猎起点。知识点：

威胁狩猎方法论。易错点：容易颠倒假设与验证的顺序。

5、SOAR平台与SIEM系统集成的最佳实践是？

A、SOAR完全替代SIEM

B、SIEM将告警推送给SOAR处理

C、两者独立运行互不通信

D、SOAR向SIEM发送检测规则

【答案】B

【解析】正确答案是B。标准集成模式是SIEM负责检测告警，SOAR负责响应编

排。A选项错误，两者功能互补；C选项无法发挥协同效应；D选项方向反了。知识点：

安全系统集成架构。易错点：容易混淆系统间的数据流向。

6、在威胁狩猎中，“LivingofftheLand”攻击手法的主要特征是？

A、使用零日漏洞

B、利用系统自带工具

C、依赖外部C2服务器

D、大量加密流量

【答案】B

【解析】正确答案是B。LivingofftheLand指攻击者使用操作系统合法工具（如

PowerShell、WMI）进行恶意活动，难以被传统检测发现。A选项是漏洞利用特征；C

选项是C2通信特征；D选项是流量特征。知识点：高级攻击手法。易错点：容易忽视

合法工具的恶意使用场景。

7、SOAR剧本（Playbook）设计时，最需要考虑的因素是？

A、剧本执行速度

B、业务连续性影响

C、日志存储容量