威胁分析工程师考试试卷及答案

威胁分析工程师考试试卷及答案一、填空题（共10题，每题1分）1.威胁情报的核心要素包括IOC、TTP和______。2.洛克希德马丁攻击链模型中，最后一个阶段是______。3.利用系统未修复漏洞实现攻击的方式称为______攻击。4.SIEM工具的核心功能是日志聚合和______。5.EDR（端点检测与响应）的关键检测维度是______分析。6.威胁狩猎的核心目标是发现______的威胁。7.CVE编号是______的唯一标识符。8.最常见的钓鱼攻击传播载体是______。9.威胁分析报告的核心模块是______分析。10.零日漏洞是指______且无官方补丁的漏洞。二、单项选择题（共10题，每题2分）1.以下属于TTP（战术技术与流程）的是（）A.恶意IP地址B.恶意文件哈希C.横向移动方法D.钓鱼域名2.MITREATT&CK框架中，不属于“初始访问”战术的技术是（）A.鱼叉钓鱼B.供应链攻击C.横向移动D.漏洞利用3.属于战术级威胁情报的是（）A.某APT组织最新工具哈希B.某行业年度威胁趋势C.单个恶意C2域名D.某漏洞补丁发布时间4.EDR与XDR的核心区别是（）A.EDR仅覆盖端点设备B.XDR不支持云环境C.EDR支持多域整合D.XDR只检测已知威胁5.威胁狩猎的第一步是（）A.数据收集B.假设形成C.威胁验证D.响应处置6.属于高级持续威胁（APT）的是（）A.勒索软件加密个人电脑B.黑客DDoS攻击电商网站C.国家支持组织长期窃取企业机密D.钓鱼邮件骗取普通用户密码7.SIEM关联规则的主要作用是（）A.收集日志B.存储日志C.发现日志异常关联D.生成合规报表8.以下属于IOC（妥协指标）的是（）A.威胁行为体攻击战术B.恶意文件MD5哈希C.威胁行为体动机D.漏洞影响范围9.风险评估的核心计算公式是（）A.风险=威胁数量×漏洞数量B.风险=发生概率×影响程度C.风险=攻击次数×响应时间D.风险=漏洞数量×修复成本10.零日漏洞利用的特点是（）A.已有官方补丁B.厂商未知晓或未发布补丁C.仅影响开源软件D.攻击者已公开利用方法三、多项选择题（共10题，每题2分，多选、少选、错选均不得分）1.威胁情报的常见类型包括（）A.战略级情报B.战术级情报C.操作级情报D.技术级情报2.MITREATT&CK框架的应用场景有（）A.威胁建模B.攻击模拟C.检测能力评估D.漏洞修复优先级排序3.EDR的核心能力包括（）A.端点行为监控B.恶意代码查杀C.自动响应处置D.网络流量深度分析4.威胁狩猎的关键步骤包括（）A.假设形成B.数据enrichmentC.威胁验证D.处置闭环5.钓鱼攻击的常见变体有（）A.鱼叉钓鱼B.水坑攻击C.鲸钓D.勒索钓鱼6.威胁分析报告的受众包括（）A.SOC分析师B.企业管理层C.开发团队D.行业合作伙伴7.属于漏洞利用技术的有（）A.缓冲区溢出B.SQL注入C.远程代码执行（RCE）D.社会工程学8.SIEM工具支持的日志来源包括（）A.防火墙B.服务器C.端点设备D.云服务平台9.常见威胁行为体分类包括（）A.国家支持组织B.犯罪团伙C.脚本小子D.内部威胁者10.属于风险缓解措施的有（）A.漏洞补丁更新B.访问控制强化C.威胁狩猎D.incident响应四、判断题（共10题，每题2分，正确打√，错误打×）1.MITREATT&CK框架仅适用于大型企业威胁分析。（）2.威胁情报的价值与时效性、准确性直接相关。（）3.EDR可完全替代SIEM工具的所有功能。（）4.零日漏洞利用比已知漏洞利用更难防御。（）5.威胁狩猎的目标是发现已知的威胁告警。（）6.钓鱼攻击仅通过邮件传播。（）7.CVE编号由MITRE公司统一维护。（）8.风险评估只需考虑威胁发生的概率。（）9.横向移动属于攻击链的“初始访问”阶段。（）10.威胁分析报告必须包含缓解建议。（）五、简答题（共4题，每题5分）1.简述MITREATT&CK框架的核心价值。2.威胁狩猎与传统威胁检测的核心区别是什么？3.威胁情报的主要获取渠道及注意事项有哪些？4.什么是EDR？其核心能力包括哪些？六、讨论题（共2题，每题5分）1.如何将MITREATT&CK框架应用于企业威胁检测能力建设？2.针对勒索软件攻击，威胁分析工程师应重点关注哪些TTPs？---参考答案一、填空题答案1.威胁行为体2.行动目标（或获利）3.漏洞利用4.关联分析5.行为6.未知/潜伏7.公共漏洞和暴露8.邮件9.风险10.厂商未知晓二、单项选择题答案1.C2.C3.B4.A5.B6.C7.C8.B9.B10.B三、多项选择题答案1.ABC2.ABC3.ABC4.ABCD5.ABCD6.ABCD7.ABC8.ABCD9.ABCD10.AB四、判断题答案1.×2.√3.×4.√5.×6.×7.√8.×9.×10.√五、简答题答案1.核心价值：①标准化威胁描述（用战术+技术统一攻击行为）；②支撑检测评估（识别未覆盖的威胁gaps）；③指导攻击模拟（验证防御有效性）；④赋能威胁狩猎（基于框架形成假设）；⑤跨团队协作（统一安全团队语言）。2.核心区别：①主动性：传统被动匹配已知规则，狩猎主动找未知威胁；②目标：传统针对已知威胁，狩猎针对未知威胁；③方法：传统依赖预定义规则，狩猎基于假设+数据enrichment；④输出：传统生成告警，狩猎更新检测规则。3.获取渠道：公开（CVE库、MITREATT&CK）、半公开（商业情报平台、行业ISAC）、内部（SOC日志、漏洞扫描）。注意事项：时效性、准确性、相关性、合规性（遵守隐私法规）。4.EDR定义：端点检测与响应工具（覆盖电脑、服务器）。核心能力：行为监控、恶意代码检测、自动响应、攻击溯源、态势可视化。六、讨论题答案1.应用步骤：①现状评估（映射现有规则到ATT&CK，识别gaps）；②补充检测（开发新规则或采购支持工具）；③验证有效性（红队模拟ATT&CK攻击，优化未触发规则）；④持续迭代（同步框架更