软考题库
信息安全工程师 · 高频练习

安全事件排查为什么不能只看单一日志?

中级 单选题 第 230 题 中等 信息安全工程师安全日志关联分析安全事件响应
内容整理:软考题库编辑部 最近更新:
题目

某系统疑似被攻击。安全人员同时查看防火墙、Web 服务器、数据库、主机登录和应用审计日志,按时间线把异常 IP、请求路径、登录行为和数据访问记录串起来判断攻击过程。这种分析方法更接近于()。

A 日志关联分析
B 盲目删除日志
C 只看首页访问量
D 更换显示器分辨率
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
书木兰刷题练习 适合懒人、小白的刷题通关平台
正确答案
A
答案解析

日志关联分析强调把多个来源、多个层面的日志按时间、主体、事件类型和资源对象进行综合分析。单一日志往往只能看到局部,例如防火墙看到连接,Web 日志看到请求,数据库日志看到查询,主机日志看到登录。串起来之后,才更容易还原攻击路径。

选项分析

A

正确。多源日志按时间线和事件关系综合判断,属于日志关联分析。

B

错误。删除日志会破坏取证和追溯能力。

C

错误。首页访问量只能反映粗略流量,不能还原攻击链。

D

错误。显示器分辨率与安全事件分析无关。

本题为什么容易错

这题的误区是把日志审计理解成“有日志就行”。真正排查时,要看不同日志之间能不能互相印证。只有一条孤立日志,很难判断攻击是否成功、影响到哪里。

先看结论

简短答案

安全事件排查为什么不能只看单一日志,正确答案是 A(日志关联分析)。日志关联分析强调把多个来源、多个层面的日志按时间、主体、事件类型和资源对象进行综合分析。单一日志往往只能看到局部,例如防火墙看到连接,Web 日志看到请求,数据库日志看到查询,主机日志看到登录。串起来之后,才更容易还原攻击路径。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
日志关联分析 本题正确答案 正确。多源日志按时间线和事件关系综合判断,属于日志关联分析。 看到题干核心场景时优先联想到它
盲目删除日志 本题干扰项 错误。删除日志会破坏取证和追溯能力。 看到该词不要急着选,先判断是否真正解决题干问题
只看首页访问量 本题干扰项 错误。首页访问量只能反映粗略流量,不能还原攻击链。 看到该词不要急着选,先判断是否真正解决题干问题
更换显示器分辨率 本题干扰项 错误。显示器分辨率与安全事件分析无关。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 盲目删除日志:错误。删除日志会破坏取证和追溯能力。
  • 只看首页访问量:错误。首页访问量只能反映粗略流量,不能还原攻击链。
  • 更换显示器分辨率:错误。显示器分辨率与安全事件分析无关。
复习

知识点详解

安全事件响应是信息安全工程师考试中需要结合场景理解的考点。围绕“安全事件排查为什么不能只看单一日志”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“某系统疑似被攻击。安全人员同时查看防火墙、Web 服务器、数据库、主机登录和应用审计日志,按时间线把异常 IP、请求路径、登录行为和数据访问记录串起来判断攻击过程。这种分析方法更接近于()”,它指向的核心答案是 A(日志关联分析)。

备考速记

备考速记:题干如果强调“安全事件响应”中的关键目标,就先联想到 安全事件响应;如果选项里出现 盲目删除日志、只看首页访问量、更换显示器分辨率,不要只看名称熟悉,要判断它们是否真正对应题干场景。

安全事件响应在安全事件响应场景中的作用

安全事件响应在本题中的核心价值,是解决“某系统疑似被攻击。安全人员同时查看防火墙、Web 服务器、数据库、主机登录和应用审计日志,按时间线把异常 IP、请求路径、登录行为和数据访问记录串起来判断攻击过程。这种分析方法更接近于()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出安全事件响应场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查安全事件响应的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把安全事件响应和盲目删除日志、只看首页访问量、更换显示器分辨率放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
安全事件响应在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把安全事件响应放到安全事件响应场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干说同时看多类日志,并按时间线串起攻击过程,这就是关联分析。老师讲安全运营时会提醒:别盯着一条告警下结论,要把网络、主机、应用、数据库证据放在一起看。

考点定位

安全事件响应题里,日志不是只为了留档,更重要的是帮助发现异常、还原过程、定位影响范围和形成证据链。

易错提醒

  • 只看 Web 访问日志,不看主机登录和数据库访问记录。
  • 没有统一时间源,导致多台设备日志时间对不上。
  • 日志留存周期太短,事后想查时已经被覆盖。

备考提示

  • 复习安全运营时,把日志采集、时间同步、关联分析、告警处置和证据保全一起看。
  • 题干出现多源日志、时间线、攻击路径还原,优先想到关联分析。

你可能还想了解

  • 安全事件排查为什么不能只看单一日志?
  • 安全事件响应是什么?
  • 安全事件响应在信息安全工程师考试中怎么考?
  • 信息安全工程师安全事件响应题怎么理解?
  • 安全日志关联分析有什么作用怎么考?
  • 信息安全工程师日志审计怎么考?

本文小结

本题核心考点是安全事件响应在安全事件响应场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(日志关联分析)。