2025年信息系统安全专家SOAR中的威胁情报应用专题试卷及解析.pdfVIP

2025年信息系统安全专家SOAR中的威胁情报应用专题试卷及解析1

2025年信息系统安全专家SOAR中的威胁情报应用专题

试卷及解析

2025年信息系统安全专家SOAR中的威胁情报应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SOAR平台中，威胁情报的主要作用是什么？

A、存储日志数据

B、自动化安全响应

C、提供攻击者背景和上下文信息

D、生成安全报告

【答案】C

【解析】正确答案是C。威胁情报的核心价值在于为安全事件提供攻击者背景、攻

击手法、基础设施等上下文信息，帮助分析师更准确地判断威胁。A选项是SIEM系统

的功能，B选项是SOAR的核心功能但不是威胁情报的直接作用，D选项是SOAR的

输出功能之一。知识点：威胁情报的定义与作用。易错点：容易将SOAR的整体功能

与威胁情报的特定作用混淆。

2、以下哪种威胁情报格式最适合SOAR平台自动化处理？

A、PDF报告

B、STIX/TAXII

C、电子邮件

D、Word文档

【答案】B

【解析】正确答案是B。STIX（StructuredThreatInformationeXpression）和TAXII

（TrustedAutomatedeXchangeofIntelligenceInformation）是标准化的威胁情报格式和

传输协议，专为机器可读和自动化处理设计。A、C、D选项都是非结构化或半结构化

格式，难以被SOAR平台直接解析。知识点：威胁情报标准化格式。易错点：容易忽视

机器可读格式的重要性。

3、在SOAR流程中，威胁情报通常在哪个阶段被调用？

A、事件检测

B、事件分析

C、事件响应

D、事后总结

【答案】B

【解析】正确答案是B。威胁情报主要用于事件分析阶段，帮助分析师理解事件的

上下文和威胁等级。A阶段主要依赖检测规则，C阶段执行响应动作，D阶段进行复

2025年信息系统安全专家SOAR中的威胁情报应用专题试卷及解析2

盘。知识点：SOAR工作流程。易错点：容易混淆分析与响应阶段的区别。

4、以下哪项不是威胁情报的典型分类？

A、战略情报

B、战术情报

C、操作情报

D、技术情报

【答案】D

【解析】正确答案是D。威胁情报通常分为战略（高层决策）、战术（攻击手法）和

操作（具体指标）三类。技术情报不是标准分类。知识点：威胁情报分类体系。易错点：

容易将”技术”与”操作”混淆。

5、SOAR平台集成威胁情报时，最需要关注的数据质量指标是？

A、数据量大小

B、时效性

C、存储格式

D、来源数量

【答案】B

【解析】正确答案是B。威胁情报的时效性直接影响其价值，过时的情报可能导致

误判。A、C、D虽然重要但不是核心质量指标。知识点：威胁情报质量评估。易错点：

容易忽视时效性的重要性。

6、在威胁情报生命周期中，“处理”阶段的主要任务是？

A、收集原始数据

B、分析和提炼情报

C、分发情报

D、应用情报

【答案】B

【解析】正确答案是B。处理阶段的核心是将原始数据转化为可用的情报。A是收

集阶段，C是分发阶段，D是应用阶段。知识点：威胁情报生命周期。易错点：容易混

淆处理与分析的区别。

7、以下哪种SOAR动作最常与威胁情报结合使用？

A、隔离主机

B、查询IP信誉

C、封禁用户

D、重启服务

【答案】B

2025年信息系统安全专家SOAR中的威胁情报应用专题试卷及解析3

【解析】正确答案是B。查询IP信誉是典型的威胁情报应用场景，其他选项是响应

动作但与情报直接关联度较低。知识点：SOAR动作类型。易错点：容易将响应动作与

情报查询混淆。

8