2025年信息系统安全专家威胁狩猎知识管理与经验沉淀专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎知识管理与经验沉淀专题试卷及解析1

2025年信息系统安全专家威胁狩猎知识管理与经验沉淀专

题试卷及解析

2025年信息系统安全专家威胁狩猎知识管理与经验沉淀专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎活动中，以下哪项是”假设驱动”狩猎方法的核心特征？

A、依赖自动化工具生成告警

B、基于攻击者TTPs构建假设并验证

C、被动响应已知威胁指标

D、定期扫描系统漏洞

【答案】B

【解析】正确答案是B。假设驱动狩猎是主动构建攻击者行为假设（如”攻击者可能

利用PowerShell进行横向移动”）并通过日志分析验证的方法。A选项描述的是基于告

警的被动防御；C选项属于事件响应范畴；D选项是漏洞管理活动。知识点：威胁狩猎

方法论。易错点：混淆主动狩猎与被动响应的区别。

2、在威胁情报知识管理中，STIX/TAXII标准的主要作用是？

A、加密传输日志数据

B、结构化威胁情报交换

C、存储漏洞扫描结果

D、自动化补丁管理

【答案】B

【解析】正确答案是B。STIX（结构化威胁信息表达）和TAXII（可信自动化情报交

换）是威胁情报共享的标准化框架。A选项属于TLS协议功能；C选项通常使用CVE

等格式；D选项是SCAP等标准范畴。知识点：威胁情报标准化。易错点：将情报标准

与安全运维工具功能混淆。

3、以下哪项是威胁狩猎经验沉淀的最佳实践？

A、仅保存成功狩猎案例

B、建立可复用的狩猎剧本库

C、依赖个人记忆记录发现

D、每季度清理狩猎日志

【答案】B

【解析】正确答案是B。狩猎剧本（Playbook）标准化是经验沉淀的核心，包括假

设、数据源、查询语句等要素。A选项会丢失失败案例的宝贵经验；C选项不可持续；

D选项可能破坏证据链。知识点：知识管理实践。易错点：忽视失败案例的价值。

4、在威胁狩猎数据源选择中，EDR日志相比传统SIEM的主要优势是？

2025年信息系统安全专家威胁狩猎知识管理与经验沉淀专题试卷及解析2

A、存储容量更大

B、提供更细粒度的终端行为数据

C、合规性更强

D、部署成本更低

【答案】B

【解析】正确答案是B。EDR（终端检测响应）能捕获进程链、API调用等细粒度

行为，更适合狩猎高级威胁。A选项不一定成立；C选项取决于具体产品；D选项通常

相反。知识点：数据源分析。易错点：混淆数据质量与存储容量。

5、MITREATTCK框架在威胁狩猎中的主要应用是？

A、生成恶意软件签名

B、提供攻击行为分类体系

C、自动阻断攻击

D、评估系统性能

【答案】B

【解析】正确答案是B。ATTCK通过战术、技术和过程（TTPs）分类，帮助构

建系统化狩猎假设。A选项属于反病毒引擎功能；C选项是IPS/IDS职责；D选项属

于性能监控范畴。知识点：威胁建模框架。易错点：将分类工具与检测工具混淆。

6、在威胁狩猎知识管理中，“狩猎假设”文档应包含的最关键要素是？

A、攻击者IP地址

B、可验证的预期行为

C、系统配置参数

D、用户培训记录

【答案】B

【解析】正确答案是B。假设必须包含可验证的预期行为（如”发现异常PowerShell

参数”）才能进行有效验证。A选项属于IOCs；C选项是资产信息；D选项属于安全意

识范畴。知识点：假设构建方法。易错点：将假设与已知指标混淆。

7、以下哪项技术最适合检测”无文件攻击”？

A、静态特征匹配

B、内存行为分析

C、端口扫描检测

D、文件完整性监控

【答案】B

【解析】正确答案是B。无文件攻击在内存中执行，需要通过内存行为分析（如

PowerShell反射注入）检测。A选项无法检测内存活动；C选项检测网络扫描；D选项

监控磁盘文件