2025年SOC安全运营工程师考试题库（附答案和详细解析）（0920）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端漏洞扫描

B.集中日志采集与关联分析

C.网络流量整形

D.邮件垃圾过滤

答案：B

解析：SIEM的核心是通过收集多源日志（如网络、主机、应用日志），进行标准化处理和关联分析，发现潜在安全事件。A为漏洞扫描工具功能，C为网络设备功能，D为邮件网关功能，均非SIEM核心。

在ATTCK框架中，“InitialAccess”（初始访问）属于哪个分类？

A.横向移动阶段

B.持续化阶段

C.攻击生命周期的起始阶段

D.数据外泄阶段

答案：C

解析：ATTCK框架将攻击技术按生命周期分为14个阶段，“InitialAccess”是攻击者首次进入目标系统的阶段，属于起始阶段。A（横向移动）是渗透后扩大控制范围的阶段，B（持续化）是维持长期访问的阶段，D（数据外泄）是窃取数据的阶段，均不符合。

以下哪种日志最常用于检测横向移动攻击？

A.防火墙访问日志

B.Windows安全日志（SecurityEventLog）

C.数据库慢查询日志

D.应用服务器错误日志

答案：B

解析：横向移动攻击（如通过SMB协议或PowerShell远程执行）通常会在Windows安全日志中留下权限提升、远程登录等事件记录。A主要记录网络流量边界，C关注数据库性能，D记录应用运行错误，均非横向移动的核心检测源。

安全事件分级的主要依据是？

A.攻击者IP地址归属地

B.事件涉及的资产价值与影响范围

C.告警触发的SIEM规则优先级

D.事件发生的具体时间（如工作日/节假日）

答案：B

解析：事件分级需基于资产重要性（如核心业务系统）、影响范围（如是否波及用户数据）等实际危害程度。A（攻击者来源）不直接影响危害，C（规则优先级）是检测层面的标记，D（时间）可能影响响应效率但非分级核心。

以下哪种攻击属于“凭据滥用”（CredentialAccess）类威胁？

A.针对Web服务器的SQL注入

B.通过钓鱼邮件获取用户账号密码

C.利用漏洞植入勒索软件

D.对DNS服务器的DDoS攻击

答案：B

解析：凭据滥用指攻击者获取合法账号后冒用身份，钓鱼邮件窃取密码是典型手段。A（SQL注入）属漏洞利用，C（勒索软件）属恶意软件传播，D（DDoS）属资源耗尽攻击，均非凭据滥用。

关于威胁情报（ThreatIntelligence）的应用，以下哪项描述错误？

A.用于更新入侵检测系统（IDS）的规则库

B.帮助确定重点防护的资产优先级

C.直接替代人工进行事件响应决策

D.识别攻击者使用的新型工具（如C2服务器特征）

答案：C

解析：威胁情报为决策提供数据支持，但无法替代人工分析（需结合上下文判断）。A、B、D均为威胁情报的典型应用场景。

在应急响应中，“抑制阶段”的主要目标是？

A.收集并保存事件相关证据

B.阻止攻击进一步扩散

C.修复系统漏洞防止再次被攻击

D.向管理层提交事件报告

答案：B

解析：抑制阶段（Containment）的核心是通过隔离受感染主机、关闭漏洞端口等方式，阻止攻击蔓延。A（证据收集）属检测分析阶段，C（修复漏洞）属根除阶段，D（报告）属总结阶段。

以下哪种日志格式最符合CEF（通用事件格式）标准？

A.2023-10-0112:00:00[INFO]Userloginsuccess:alice

B.CEF:0|Vendor|Product|1.0|100|LoginSuccess|1|src=192.168.1.1suser=alice

C.{timestamp:2023-10-01T12:00:00Z,event:login,user:alice}

D.Oct112:00:00host1sshd[1234]:Acceptedpasswordforalicefrom192.168.1.1

答案：B

解析：CEF格式需包含版本号、厂商、产品、签名ID、名称、严重性及扩展字段（如src、suser），B完全符合。A为自定义文本日志，C为JSON格式，D为系统原生日志（如syslog），均非CEF。

以下哪项不属于“威胁狩猎”（ThreatHunting）的典型步骤？

A.基于已知IOC（指标）进行排查

B.假设潜在攻击场景并验证

C.被动等待SIEM告警触发

D.分析历史日志寻找异常行为

答案：C

解析：威胁狩猎是主动、前瞻性的检测过程，C（被动等待告警）属于传统监控，非威胁狩猎特征。

在等保2.0中，三级系统的日志保留时间至少需满足？

A.30天

B.6个月

C.1年

D.