网络安全威胁狩猎工程师岗位招聘考试试卷及答案

网络安全威胁狩猎工程师岗位招聘考试试卷及答案网络安全威胁狩猎工程师岗位招聘考试试卷及答案一、填空题（10题，每题1分）1.MITREATT&CK框架将威胁攻击分为______个战术阶段。2.可观测的威胁证据（如IP、域名）称为______（缩写）。3.基于行为模式的威胁检测指标称为______（缩写）。4.安全信息和事件管理系统的缩写是______。5.端点检测与响应的缩写是______。6.威胁狩猎的第一步通常是______（确定狩猎范围/假设生成）。7.ATT&CK框架中，“横向移动”属于______战术阶段。8.威胁狩猎闭环中，“验证”之后的环节是______。9.威胁情报核心来源不包括______（内部日志/公开情报源/员工闲聊）。10.主动狩猎的核心是______（寻找已知威胁/发现未知威胁）。二、单项选择题（10题，每题2分）1.以下不属于MITREATT&CK战术阶段的是？A.初始访问B.横向移动C.漏洞利用D.数据备份2.EDR核心功能不包括？A.端点行为监控B.实时响应C.日志集中存储D.恶意代码检测3.关于IOC与IOA的区别，正确的是？A.IOC基于行为，IOA基于静态证据B.IOC易过时，IOA更持久C.IOC检测未知威胁，IOA检测已知D.两者无本质区别4.威胁狩猎的主要目标是？A.响应已知告警B.发现隐藏的未知威胁C.修复系统漏洞D.统计事件数量5.SIEM日志来源不包括？A.防火墙B.服务器系统日志C.员工邮件D.端点EDR日志6.以下属于被动狩猎的是？A.主动分析异常日志B.等待告警触发后处理C.定期扫描漏洞D.模拟攻击测试7.ATT&CK技术ID格式是？A.TXXXXB.AXXXXC.SXXXXD.IXXXX8.“假设生成”的前一步是？A.数据收集B.狩猎范围确定C.验证假设D.处置响应9.常用于威胁狩猎的工具是？A.WiresharkB.NmapC.SplunkD.Excel10.威胁狩猎闭环不包括？A.狩猎规划B.假设验证C.漏洞扫描D.闭环复盘三、多项选择题（10题，每题2分）1.威胁狩猎核心能力包括？A.异常行为分析B.威胁情报关联C.漏洞修复D.隐藏威胁发现2.MITREATT&CK组成部分包括？A.战术阶段B.技术TTPsC.威胁情报源D.检测规则库3.常见IOC类型包括？A.恶意IPB.恶意域名C.异常进程行为D.恶意文件哈希4.威胁狩猎步骤包括？A.狩猎规划B.假设生成C.数据收集与分析D.验证与处置5.SIEM关键功能包括？A.日志聚合B.关联分析C.告警触发D.端点实时监控6.EDR部署位置包括？A.服务器B.工作站C.网络防火墙D.移动设备7.威胁情报狩猎应用场景包括？A.假设生成参考B.IOC/IOA更新C.威胁归因D.漏洞修复优先级8.被动狩猎特点包括？A.依赖现有告警B.主动寻找未知威胁C.响应速度快D.覆盖范围有限9.主动狩猎特点包括？A.主动探索系统B.发现隐藏威胁C.依赖预定义规则D.需工程师主动干预10.威胁狩猎闭环环节包括？A.规划B.执行C.验证D.复盘四、判断题（10题，每题2分）1.MITREATT&CK是开源威胁攻击模型。2.IOC是基于威胁行为模式的检测指标。3.SIEM可分析结构化和非结构化日志。4.EDR只能检测已知恶意代码，无法检测未知威胁。5.威胁狩猎不需要结合威胁情报。6.被动狩猎核心是主动寻找隐藏未知威胁。7.ATT&CK战术阶段包括“初始访问”和“持久化”。8.威胁狩猎闭环中“响应”是最后环节。9.威胁狩猎工程师需具备基础编程能力（如Python）。10.异常进程启动是常见IOA类型。五、简答题（4题，每题5分）1.简述MITREATT&CK框架在威胁狩猎中的作用。2.比较IOC与IOA的区别及各自狩猎应用。3.威胁狩猎核心步骤有哪些？4.简述SIEM与EDR在狩猎中的协同作用。六、讨论题（2题，每题5分）1.如何利用威胁情报提升威胁狩猎效率？2.面对未知威胁（零日漏洞攻击），狩猎工程师应如何开展工作？---答案部分一、填空题答案1.142.IOC3.IOA4.SIEM5.EDR6.确定狩猎范围7.横向移动8.处置9.员工闲聊10.发现未知威胁二、单项选择题答案1.D2.C3.B4.B5.C6.B7.A8.B9.C10.C三、多项选择题答案1.ABD2.AB3.ABD4.ABCD5.ABC6.ABD7.ABC8.ACD9.ABD10.ABCD四、判断题答案1.对2.错3.对4.错5.错6.错7.对8.错9.对10.对五、简答题答案1.MITREATT&CK框架作用：是狩猎核心参考，①标准化14个攻击战术阶段（如初始访问、横向移动），明确攻击链；②提供TTPs清单，辅助生成狩猎假设；③关联威胁情报与攻击行为，提升针对性；④优化检测规则，匹配日志异常；⑤支持攻击复盘，验证狩猎有效性。让狩猎从随机查找变为基于模型的系统性探索。2.IOC与IOA区别及应用：IOC是静态证据（恶意IP、哈希），依赖已知威胁，易因变异失效；IOA是行为模式（异常进程、横向移动），基于行为分析，适用于未知威胁。应用：IOC快速响应已知威胁（匹配黑名单），但需频繁更新；IOA主动狩猎未知威胁（无文件攻击），更持久。两者互补：IOA发现异常，IOC验证已知威胁。3.威胁狩猎核心步骤：①规划：确定狩猎范围、目标；②假设生成：基于ATT&CK、情报提假设（如某部门存在横向移动）；③数据收集：聚合SIEM、EDR等日志；④分析验证：关联分析验证假设；⑤处置响应：隔离端点、清除恶意行为；⑥复盘：更新规则、补充情报。闭环迭代提升能力。4.SIEM与EDR协同作用：SIEM聚合多源日志（全局视角），EDR聚焦端点细节（局部行为）。①SIEM发现全局异常（跨部门访问），联动EDR分析端点行为（异常进程）；②SIEM关联分析结合EDR数据，提升假设验证准确性；③处置时，SIEM触发告警，EDR实时隔离端点，缩短响应时间。实现“全局-局部”联动。六、讨论题答案1.威胁情报提升狩猎效率：①情报驱动假设：基于APTTTPs生成精准假设（如某组织常用PowerShell横向移动），避免盲目分析；②更新IOC/IOA：同步情报中的恶意IP、行为模式到规则，扩大覆盖；③威胁归因：关联攻击源、目的，快速判断风险等级，优先处置高风险；④实时情报预警：提前关注零日威胁，主动防御。2.未知威