安全事件响应工程师考试试卷及答案

安全事件响应工程师考试试卷及答案一、填空题（共10题，每题1分）1.NIST事件响应框架的第一个阶段是______。2.SIEM的全称是______。3.隔离受影响系统的事件响应阶段称为______。4.数字取证的核心原则之一是______（需填具体表述）。5.恶意代码最常见的传播途径之一是______。6.确认事件真实性的事件响应阶段是______。7.常见的containment措施包括______（需填具体动作）。8.安全事件分级中最严重的级别通常称为______。9.CSIRT（计算机安全事件响应团队）的核心职责包括______。10.恶意代码静态分析的主要方法是______。二、单项选择题（共10题，每题2分）1.下列哪项不属于NIST事件响应框架阶段？A.准备B.检测与分析C.处置D.事后改进2.SIEM不具备的功能是？A.日志聚合B.威胁检测C.漏洞扫描D.事件关联3.事件响应首先应执行的操作是？A.清除恶意代码B.确认事件真实性C.隔离系统D.上报管理层4.containment阶段的正确措施是？A.恢复数据B.分析样本C.断开受影响主机网络D.撰写报告5.违反取证证据完整性原则的行为是？A.备份原始证据B.修改原始证据C.哈希验证D.记录取证过程6.恶意代码动态分析的核心目标是？A.提取字符串B.了解执行流程C.反编译代码D.提取特征7.eradication阶段的核心目标是？A.阻止扩散B.彻底清除威胁源C.恢复系统D.总结经验8.属于“误报（falsepositive）”的是？A.检测到真实恶意活动B.未检测到恶意活动C.误标正常活动为恶意D.误标恶意为正常9.CSIRT组成人员不包括？A.安全分析师B.系统管理员C.法务人员D.市场人员10.事后改进的核心是？A.写报告B.修复漏洞C.培训员工D.以上都是三、多项选择题（共10题，每题2分）1.安全事件响应流程核心阶段包括？A.准备B.检测与分析C.处置D.事后改进2.containment阶段常见措施有？A.网络隔离B.账户锁定C.关闭服务D.恢复数据3.数字取证基本原则包括？A.证据完整性B.证据真实性C.最小权限操作D.事后追溯4.恶意代码传播途径包括？A.钓鱼邮件B.恶意网站C.可移动存储D.系统漏洞5.SIEM核心功能包括？A.日志收集B.关联分析C.告警管理D.漏洞修复6.事件分级依据包括？A.影响范围B.数据泄露量C.恢复时间D.攻击来源7.CSIRT职责包括？A.事件检测B.响应处置C.漏洞管理D.安全培训8.确认事件真实性的方法包括？A.查看日志B.分析样本C.验证告警D.重启系统9.恶意代码分析方法包括？A.静态分析B.动态分析C.沙箱分析D.代码审计10.事后改进措施包括？A.更新响应流程B.修复漏洞C.员工培训D.上报监管四、判断题（共10题，每题2分）1.containment必须在确认事件真实性后执行。（）2.SIEM可检测所有未知威胁。（）3.取证允许修改原始证据以获取信息。（）4.NIST事件响应框架含5个核心阶段。（）5.恶意代码动态分析需在隔离环境进行。（）6.eradication阶段无需考虑数据备份。（）7.事件分级越高，响应优先级越低。（）8.CSIRT无需配合法务部门。（）9.事后改进仅需撰写报告。（）10.钓鱼邮件是恶意代码常见传播途径。（）五、简答题（共4题，每题5分）1.简述NIST事件响应框架的核心阶段及各阶段目标。2.简述containment与eradication阶段的区别。3.简述数字取证的基本流程。4.简述安全事件分级的意义。六、讨论题（共2题，每题5分）1.讨论如何在企业中建立有效的CSIRT。2.讨论ransomware攻击时的响应关键步骤及注意事项。---答案部分一、填空题答案1.准备（Preparation）2.安全信息和事件管理系统（SecurityInformationandEventManagement）3.containment（containment）4.证据完整性（或“不修改原始证据”“哈希验证”）5.钓鱼邮件（或“恶意网站”“可移动存储”）6.检测与分析（DetectionandAnalysis）7.网络隔离（或“账户锁定”“关闭服务”）8.critical（或“严重”“一级”）9.事件检测（或“响应处置”“漏洞管理”）10.代码逆向（或“字符串提取”“特征分析”）二、单选题答案1.C2.C3.B4.C5.B6.B7.B8.C9.D10.D三、多选题答案1.ABCD2.ABC3.ABC4.ABCD5.ABC6.ABC7.ABD8.ABC9.ABCD10.ABCD四、判断题答案1.√2.×3.×4.√5.√6.×7.×8.×9.×10.√五、简答题答案1.NIST框架5阶段：①准备：建响应能力（流程、工具、团队）；②检测与分析：确认事件、评估影响；③containment：阻止扩散；④eradication：清除威胁源；⑤事后改进：总结优化。2.containment是临时阻扩散（如隔离、锁定），避免事件扩大；eradication是彻底清威胁（如删恶意代码、修漏洞），确保无残留。前者应急，后者根本处置。3.取证流程：①收集：合法获取并备份原始证据；②保存：哈希验证确保完整性；③分析：隔离环境下静态/动态分析；④报告：记录过程、结果，符合法务要求。4.分级意义：①明确响应优先级；②匹配资源投入；③规范上报流程；④减少影响（及时处置高风险事件）。六、讨论题答案1.建CSIRT：①明确职责（检测、处置、改进）；②组团队（安全分析师、sysadmin、法务等）；③建流程（参考NIST，制定预案）；④工具支撑（SIEM、沙箱、取证工具）；⑤培训演练（定期培训、模拟攻击）；⑥合规（符合监管，明确上报机制）。2.rans