2025年SOC安全运营工程师考试题库（附答案和详细解析）（0908）.docxVIP

2025年SOC安全运营工程师考试题库（附答案和详细解析）（0908）

SOC安全运营工程师认证考试

一、单项选择题（共10题，每题1分，共10分）

MITREATTCK框架中”初始访问”阶段的核心目标是：

A.提升系统权限

B.在目标网络建立持久据点

C.获取目标网络的首次接入能力

D.窃取用户凭证

答案：C

解析：MITREATTCK初始访问（TA0001）特指攻击者首次突破网络防御的技术（如钓鱼邮件、漏洞利用）。选项A属权限提升（TA0004），B属持久化（TA0003），D属凭证访问（TA0006）。

下列哪项不是EDR的核心功能？

A.进程行为监控

B.漏洞扫描

C.威胁攻击链可视化

D.终端取证分析

答案：B

解析：EDR（端点检测响应）专注于威胁检测与响应能力。漏洞扫描属漏洞管理工具范畴（如Nexpose），EDR主要通过行为分析（A）、攻击链映射（C）及取证（D）实现威胁处置。

二、多项选择题（共10题，每题2分，共20分）

依据NIST事件响应生命周期，下列属于”准备”阶段的活动是：

A.建立CSIRT团队

B.配置SIEM告警规则

C.隔离受感染主机

D.更新事件响应预案模板

答案：ABD

解析：“准备”阶段涉及组织/技术建设（A）、检测机制部署（B）和预案制定（D）。选项C属于”遏制”阶段行动（NISTSP800-61）。

SOAR平台的核心价值包括：

A.自动执行playbook响应流程

B.替代人工日志分析

C.集成多源安全工具

D.降低MTTR指标

答案：ACD

解析：SOAR通过工作流自动化（A）、工具集成（C）加速响应以降低平均修复时间（D），但无法替代人工分析（B），需与SIEM/SOC分析师协同工作。

三、判断题（共10题，每题1分，共10分）

Sysmon日志可记录进程创建和网络连接事件，默认集成于Windows事件查看器。

答案：错误

解析：Sysmon需独立安装配置（非Windows原生组件），其日志通过事件查看器-应用程序和服务日志查看。

VPN全流量加密可完全防御中间人攻击。

答案：错误

解析：VPN虽加密数据传输，但若客户端被植入恶意软件或证书遭窃取（如SSL剥离攻击），仍可能发生中间人攻击。

四、简答题（共5题，每题6分，共30分）

简述威胁情报的STIX框架核心组件构成。

答案：

第一，威胁指标（Indicator）：描述恶意特征如IP地址哈希值；

第二，威胁主体（ThreatActor）：攻击组织画像；

第三，攻击模式（AttackPattern）：TTP技术细节；

第四，攻击活动（Campaign）：关联攻击事件集。

解析：STIX2.x规范通过这四类结构化对象实现威胁情报共享，支撑自动化防御（如TAXII协议传输）。

列出SIEM误报率优化的三项关键措施。

答案：

第一，精细化日志过滤：基于业务场景设置白名单规则；

第二，多事件关联分析：通过复合条件降低单一事件噪声；

第三，动态基线调整：机器学习用户行为模型减少异常误判。

解析：优化需结合技术手段（如动态基线）与管理流程（规则生命周期审核），典型实践参考MITRECARO框架。

五、论述题（共3题，每题10分，共30分）

结合SolarWinds事件，论述纵深防御体系在供应链攻击防护中的应用。

答案：

论点：需从代码签名、行为监控、零信任三层面构建防护链

论据与实例：

代码审计层：攻击者篡改SolarWindsOrion数字证书。应实施双因子代码签名机制（如微软Sigstore）

运行时防护：Orion进程异常连接C2服务器。EDR应监控软件供应链进程网络行为

零信任执行：默认拦截未知二进制，强制定向访问策略

结论：单一依赖供应商安全认证不足，必须通过纵深技术栈交叉验证

分析ATTCK框架下”无文件攻击”的检测技术演进路径。

答案：

检测范式转变：

|传统方案|现代演进技术|

||–|

|文件哈希检测(T1547.001)|内存取证(如Volatility)|

|进程白名单(T1055)|PowerShell脚本审计(TA0002)|

|注册表监控(T1546.015)|AMSI接口行为分析|

实证案例：

2017年NotPetya使用WMIC进程注入(T1047)，触发内存扫描需求

2023年Rust勒索软件滥用合法进程，推动AI驱动异常行为检测

总结：需结合终端行为监控+内存取证+解释器审计三维度防御