原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端设备病毒查杀
B.集中日志采集、存储与关联分析
C.网络流量清洗与DDoS防护
D.漏洞扫描与修复建议
答案:B
解析:SIEM的核心是通过收集多源日志(如网络、系统、应用日志),进行标准化存储和关联分析,实现威胁检测与事件响应。A是杀毒软件(AV)功能,C是防火墙/抗DDoS设备功能,D是漏洞管理系统(如Nessus)功能。
在MITREATTCK框架中,“横向移动”属于哪个阶段?
A.初始访问
B.执行
C.权限提升
D.横向移动
答案:D
解析:ATTCK框架将攻击生命周期分为14个阶段(如初始访问、执行、权限提升、横向移动等),“横向移动”是独立阶段,指攻击者在目标网络内从已入侵设备向其他设备扩展控制的行为。
以下哪种日志通常包含用户登录失败的详细信息?
A.网络流量日志(NetFlow)
B.系统安全日志(WindowsSecurityLog)
C.应用程序访问日志(NginxAccessLog)
D.数据库慢查询日志(MySQLSlowQueryLog)
答案:B
解析:WindowsSecurityLog记录安全相关事件(如登录成功/失败、权限变更);A记录网络流量元数据(源IP、端口等),C记录HTTP请求信息,D记录执行时间过长的SQL语句。
勒索软件攻击的典型特征是?
A.大量发送钓鱼邮件
B.加密用户文件并索要赎金
C.占用系统内存导致崩溃
D.窃取用户浏览器历史记录
答案:B
解析:勒索软件核心行为是通过加密文件/系统数据,迫使受害者支付赎金以获取解密密钥。A是钓鱼攻击的前置步骤,C是拒绝服务(DoS)特征,D是间谍软件特征。
以下哪个工具主要用于端点威胁检测与响应(EDR)?
A.Splunk
B.CrowdStrikeFalcon
C.Wireshark
D.OpenVAS
答案:B
解析:CrowdStrikeFalcon是典型EDR工具,通过端点代理实时监控进程、文件操作等,实现威胁检测与响应。A是SIEM工具,C是网络抓包分析工具,D是漏洞扫描工具。
在事件响应中,“根除阶段”的主要目标是?
A.隔离受感染设备
B.修复系统漏洞并清除残留恶意代码
C.分析攻击路径与溯源
D.恢复业务系统运行
答案:B
解析:事件响应流程通常包括准备、检测分析、抑制(隔离)、根除(清除恶意代码/修复漏洞)、恢复(业务重启)、总结。根除阶段需彻底消除攻击入口和残留威胁。
以下哪种协议通常用于日志的标准化传输?
A.Syslog
B.SNMP
C.ICMP
D.SMTP
答案:A
解析:Syslog是广泛使用的日志传输协议(默认UDP514端口),用于设备向日志服务器发送结构化日志。B是网络管理协议,C是网络控制消息协议,D是邮件传输协议。
以下哪项不属于威胁情报的关键要素?
A.攻击手法(TTPs)
B.漏洞CVSS评分
C.恶意IP/域名列表
D.攻击者组织背景
答案:B
解析:威胁情报通常包含攻击者信息(背景、动机)、攻击手法(TTPs)、IOC(IndicatorofCompromise,如恶意IP/域名)等;漏洞CVSS评分属于漏洞管理范畴。
在日志分析中,“异常行为检测”主要依赖?
A.已知攻击特征库匹配
B.基线模型与统计分析
C.人工逐条查看日志
D.防火墙规则过滤
答案:B
解析:异常检测通过建立正常行为基线(如用户登录时间、文件访问频率),识别偏离基线的行为(如非工作时间登录),属于主动防御;A是特征检测(签名检测),C是低效人工分析,D是网络层防护。
等保2.0中,“安全运营中心”属于哪个层面的要求?
A.技术安全-应用安全
B.管理安全-安全管理中心
C.技术安全-安全计算环境
D.管理安全-安全运维管理
答案:B
解析:等保2.0将要求分为技术(计算环境、区域边界、通信网络、安全管理中心)和管理(安全策略、管理制度、人员安全、系统建设、安全运维)两大类。安全运营中心(SOC)属于管理安全中的“安全管理中心”层面。
二、多项选择题(共10题,每题2分,共20分)
以下属于SOC日常运营核心工作的有?()
A.监控安全设备(如防火墙、IDS)告警
B.定期生成安全态势报告
C.参与漏洞修复验证测试
D.开发新的安全防护算法
答案:ABC
解析:SOC日常工作包括实时监控、事件分析、响应处置、报告输出、工具维护(如SIEM规则调优)、漏洞管理协同等。D属于安全研发范畴,非SOC常规职责。
以下哪些是APT(高级持续性威胁)的典型特征?(
您可能关注的文档
- 2025年碳资产管理师考试题库(附答案和详细解析)(1009).docx
- 2025年金融风险管理师(FRM)考试题库(附答案和详细解析)(1007).docx
- 2025年注册农业工程师考试题库(附答案和详细解析)(1009).docx
- 2025年跨境电商运营师考试题库(附答案和详细解析)(1005).docx
- 2025年注册节能评估师考试题库(附答案和详细解析)(1009).docx
- 2025年数字化转型师考试题库(附答案和详细解析)(1004).docx
- 2025年非营利组织管理师考试题库(附答案和详细解析)(1005).docx
- 2025年注册核工程师考试题库(附答案和详细解析)(1005).docx
- 2025年注册林业工程师考试题库(附答案和详细解析)(0923).docx
- 2025年智慧医疗技术员考试题库(附答案和详细解析)(1007).docx
- 2025年工业大数据分析师考试题库(附答案和详细解析)(1007).docx
- 2025年注册公用设备工程师考试题库(附答案和详细解析)(1009).docx
- 2025年注册职业卫生评估师考试题库(附答案和详细解析)(1005).docx
- 2025年智能机器人系统集成师考试题库(附答案和详细解析)(1009).docx
- 2025年摄影师职业资格考试题库(附答案和详细解析)(1009).docx
- 2025年零信任安全架构师考试题库(附答案和详细解析)(0930).docx
- 2025年金融科技师考试题库(附答案和详细解析)(1005).docx
- 2025年注册水利水电工程师考试题库(附答案和详细解析)(1009).docx
- 2025年注册公用设备工程师考试题库(附答案和详细解析)(1004).docx
文档评论(0)