2025年信息系统安全专家开源SOAR平台（如Shuffle,TheHive）部署与使用专题试卷及解析.pdfVIP

2025年信息系统安全专家开源SOAR平台（如SHUFFLE,THEHIVE）部署与使用专题试卷及解析1

2025年信息系统安全专家开源SOAR平台（如

Shuffle,TheHive）部署与使用专题试卷及解析

2025年信息系统安全专家开源SOAR平台（如Shuffle,TheHive）部署与使用专题

试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在部署ShuffleSOAR平台时，以下哪个组件是必须预先安装的依赖项？

A、Docker

B、Kubernetes

C、MySQL

D、Redis

【答案】A

【解析】正确答案是A。Shuffle基于容器化技术构建，Docker是其核心运行环境。

Kubernetes是可选的集群管理工具，MySQL和Redis是Shuffle内置的数据库组件，不

需要预先安装。知识点：SOAR平台部署基础架构。易错点：混淆容器运行时与容器编

排工具的关系。

2、TheHive平台中用于存储案例数据的默认数据库是？

A、PostgreSQL

B、MongoDB

C、Elasticsearch

D、SQLite

【答案】C

【解析】正确答案是C。TheHive使用Elasticsearch作为主要数据存储引擎，适合处

理安全事件的非结构化数据。PostgreSQL是可选的元数据存储，MongoDB和SQLite

不是TheHive的默认选项。知识点：SOAR平台数据存储架构。易错点：混淆搜索引擎

与关系型数据库的应用场景。

3、在Shuffle工作流中，以下哪个节点类型用于执行外部API调用？

A、Trigger

B、Action

C、Condition

D、Loop

【答案】B

【解析】正确答案是B。Action节点专门用于执行各种操作，包括API调用。Trigger

是触发器，Condition是条件判断，Loop是循环控制。知识点：SOAR工作流节点类型。

易错点：混淆触发器与执行节点的功能。

2025年信息系统安全专家开源SOAR平台（如SHUFFLE,THEHIVE）部署与使用专题试卷及解析2

4、TheHive的Cortex分析器主要用于？

A、数据可视化

B、威胁情报分析

C、自动化响应

D、日志聚合

【答案】B

【解析】正确答案是B。Cortex是TheHive的威胁分析引擎，用于执行各种安全分

析任务。数据可视化是Kibana的功能，自动化响应是SOAR核心功能，日志聚合是

Logstash的功能。知识点：SOAR生态系统组件。易错点：混淆Cortex与其他安全工

具的功能定位。

5、在Shuffle中配置Webhook触发器时，以下哪个安全措施最重要？

A、IP白名单

B、HTTPS加密

C、身份验证令牌

D、速率限制

【答案】C

【解析】正确答案是C。身份验证令牌是防止未授权访问的关键措施。HTTPS保证

传输安全，IP白名单和速率限制是辅助防护手段。知识点：SOAR接口安全配置。易

错点：忽视身份验证在API安全中的核心地位。

6、TheHive平台支持的最大并发案例处理数量主要受限于？

A、CPU核心数

B、内存大小

C、Elasticsearch性能

D、网络带宽

【答案】C

【解析】正确答案是C。Elasticsearch作为数据存储和搜索引擎，其性能直接影响

案例处理能力。CPU和内存是基础资源，网络带宽通常不是瓶颈。知识点：SOAR性

能瓶颈分析。易错点：过度关注硬件资源而忽视数据库性能。

7、在Shuffle工作流调试时，以下哪个功能最适合用于查看节点执行详情？

A、PlaybookHistory

B、NodeInspector

C、ExecutionLog

D、DebugMode

【答案】B

2025年信息系统安全专家开源SOAR平台（如SHUFFLE,THEHIVE）部署与使用专题试卷及解析3

【解析】正确答案是B。NodeIn