2025年信息系统安全专家云安全信息与事件管理（SIEM）专题试卷及解析.pdfVIP

2025年信息系统安全专家云安全信息与事件管理（SIEM）专题试卷及解析1

2025年信息系统安全专家云安全信息与事件管理（SIEM）

专题试卷及解析

2025年信息系统安全专家云安全信息与事件管理（SIEM）专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SIEM系统中，以下哪项功能最核心地体现了其”事件管理”能力？

A、日志采集与存储

B、实时关联分析

C、告警分级与响应

D、用户行为分析

【答案】C

【解析】正确答案是C。SIEM的核心价值在于将安全事件转化为可操作的告警，C

选项直接体现了这一能力。A是基础功能，B是分析能力，D是高级功能，但都不如C

直接体现”事件管理”的本质。知识点：SIEM功能架构。易错点：容易将日志采集(A)

误认为核心功能，但SIEM的真正价值在于对事件的处理而非收集。

2、云环境下部署SIEM时，与本地部署相比最需要特别关注的是？

A、数据存储容量

B、网络延迟影响

C、日志格式兼容性

D、合规性要求

【答案】B

【解析】正确答案是B。云环境特有的网络架构会导致日志传输延迟增加，直接影

响SIEM的实时性。A、C、D在本地和云环境都需要关注，但B是云环境特有的关键

挑战。知识点：云SIEM部署特点。易错点：容易忽视网络因素对实时分析的影响。

3、以下哪种攻击行为最适合通过SIEM的异常检测规则发现？

A、已知的恶意软件签名

B、暴力破解尝试

C、零日漏洞利用

D、钓鱼邮件附件

【答案】B

【解析】正确答案是B。暴力破解会产生明显的登录失败模式，适合通过SIEM的

统计规则检测。A需要EDR，C需要威胁情报，D需要邮件安全网关。知识点：SIEM

检测能力边界。易错点：容易高估SIEM对未知威胁的检测能力。

4、在SIEM规则调优中，“误报率”过高最可能导致的问题是？

A、漏报重要事件

2025年信息系统安全专家云安全信息与事件管理（SIEM）专题试卷及解析2

B、系统性能下降

C、分析师疲劳

D、日志存储不足

【答案】C

【解析】正确答案是C。高误报会产生大量无效告警，使安全团队产生”告警疲劳”。

A是漏报问题，B是性能问题，D是存储问题。知识点：SIEM运营指标。易错点：容

易混淆误报和漏报的影响。

5、以下哪个标准最直接规范了SIEM系统的日志记录要求？

A、ISO27001

B、NISTSP80092

C、PCIDSS

D、GDPR

【答案】B

【解析】正确答案是B。NISTSP92是专门针对日志管理的指南。A是整体安全框

架，C是支付卡标准，D是隐私法规。知识点：SIEM相关标准。易错点：容易选择更

知名的A或C，但B最直接相关。

6、在多云架构中，SIEM最需要解决的技术挑战是？

A、日志格式统一

B、跨云身份认证

C、数据主权合规

D、实时数据同步

【答案】A

【解析】正确答案是A。不同云服务商的日志格式差异是多云SIEM部署的首要障

碍。B、C、D也很重要，但A是技术基础。知识点：多云SIEM挑战。易错点：容易

忽视格式标准化的重要性。

7、以下哪种SIEM部署模式最适合中小企业的云环境？

A、纯本地部署

B、SaaS模式

C、混合部署

D、托管服务

【答案】B

【解析】正确答案是B。SaaS模式降低了运维门槛，最适合资源有限的中小企业。A

需要本地硬件，C复杂度高，D成本较高。知识点：SIEM部署模式选择。易错点：容

易认为混合部署更全面，但不符合中小企业需求。

8、SIEM中的”威胁情报集成”主要解决什么问题？

2025年信息系统安全专家云安全信息与事件管理（SIEM）专题试卷及解析3