2025年SOC安全运营工程师考试题库（附答案和详细解析）（1020）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM系统（安全信息与事件管理）的核心功能？

A.终端病毒查杀

B.网络流量加密

C.日志集中采集与关联分析

D.物理服务器巡检

答案：C

解析：SIEM的核心功能是通过集中采集多源日志（如网络、主机、应用日志），进行标准化处理和关联分析，发现异常事件。A是终端安全软件（如EDR）的功能；B是VPN或加密协议的功能；D属于物理安全范畴，均非SIEM核心。

以下哪种威胁情报类型最适合用于SOC的实时检测规则优化？

A.战略级情报（如APT组织背景）

B.战术级情报（如恶意IP/域名）

C.技术级情报（如漏洞利用POC）

D.操作级情报（如攻击手法TTPs）

答案：B

解析：战术级情报包含具体的IOC（指标，如恶意IP、域名、哈希值），可直接用于防火墙、IDS等设备的规则封禁或SIEM的检测规则配置。A用于高层决策；C用于漏洞修复；D用于分析攻击路径，均不直接支持实时检测。

ATTCK框架中“横向移动”（LateralMovement）属于哪个阶段？

A.初始访问（InitialAccess）

B.执行（Execution）

C.权限提升（PrivilegeEscalation）

D.命令与控制（CommandandControl）

答案：无正确选项（注：实际应为“横向移动”属于“横向移动”阶段，独立于其他阶段。本题设置为考察对ATTCK阶段划分的熟悉度，正确阶段为“横向移动”，但选项中无此选项，故需修正题目。）

（注：因用户要求严格符合格式，此处假设题目修正后正确选项为D，但实际应调整题目。为符合规范，示例中调整题目如下：）

修正后题目：ATTCK框架中“横向移动”（T1078）属于哪个战术阶段？

A.初始访问（TA0001）

B.执行（TA0002）

C.横向移动（TA0008）

D.收集（TA0009）

答案：C

解析：ATTCK框架将攻击过程分为14个战术阶段（Tactics），“横向移动”对应TA0008，用于描述攻击者在已入侵系统后，向其他系统扩展控制的行为。其他选项分别对应初始入侵、本地执行、数据收集阶段。

日志分析中，“异常登录”的关键判断依据是？

A.用户ID是否存在

B.登录时间是否在工作时段

C.登录源IP是否来自内网

D.用户历史登录模式的偏离（如异地、异设备）

答案：D

解析：异常登录需结合用户行为基线（如常用登录IP、设备、时间）判断，单一因素（如非工作时间或内网IP）可能误判。例如，运维人员可能在非工作时间登录，或用户通过VPN从外网访问，因此需基于历史模式的偏离程度（如首次异地登录）判断。

以下哪项是应急响应（IR）中“遏制阶段”的核心目标？

A.恢复受影响系统到正常状态

B.阻止攻击进一步扩散

C.分析攻击路径和溯源

D.更新安全策略防止复发

答案：B

解析：应急响应的阶段通常分为准备、检测与分析、遏制、根除与恢复、事后总结。遏制阶段的核心是阻止攻击扩散（如隔离受感染主机、封禁恶意IP），为后续根除争取时间。A属于恢复阶段；C属于分析阶段；D属于总结阶段。

漏洞管理中，“CVSS3.1评分”的“攻击复杂度（AC）”字段为“高”时，意味着？

A.攻击者需要特殊权限

B.攻击需要特定环境或条件（如网络认证）

C.攻击仅需简单脚本即可触发

D.漏洞影响范围覆盖多个系统

答案：B

解析：CVSS3.1中，攻击复杂度（AC）评估攻击成功所需的条件：“高”表示需要特定环境（如目标处于特定网络分段、攻击者需先完成某些前置步骤）；“低”表示无需特殊条件即可触发。A对应权限要求（PR字段）；C描述的是AC“低”的情况；D属于范围（S字段）。

APT（高级持续性威胁）的典型特征不包括？

A.攻击目标具有高价值（如政府、能源企业）

B.攻击工具为公开已知的漏洞利用程序

C.长期潜伏（数月至数年）

D.结合社会工程学获取初始访问

答案：B

解析：APT通常使用0day漏洞或定制化恶意软件（如Stuxnet针对工业控制系统的0day），而非公开已知工具（如常见的Metasploit模块）。其他选项均为APT典型特征：高价值目标、长期潜伏、社会工程（如钓鱼邮件）。

以下哪种访问控制模型最适用于动态权限管理（如根据用户位置、时间调整权限）？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：D

解析：ABAC通过用户属性（如部门、职位）、环境属性（如IP、时间）和资源属性（如文件密级）动态计算权限，适合需要多维度条件的场景（如“财务人员仅在工作日9:00-18:00可访问