1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1003).docxVIP

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1003).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷(总分100分)

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端防病毒防护

    B.集中日志采集与关联分析

    C.网络漏洞扫描

    D.物理服务器监控

    答案:B

    解析:SIEM的核心功能是通过收集多源日志(如网络设备、主机、应用等),进行标准化、关联分析和实时告警,帮助SOC团队发现异常事件。A属于EDR(终端检测响应)功能,C属于漏洞扫描工具功能,D属于IT运维监控范畴,均非SIEM核心。

    在威胁狩猎中,基于ATTCK框架的“战术-技术-过程”(TTPs)分析,主要用于识别以下哪类威胁?

    A.已知病毒库中的恶意软件

    B.攻击者的行为模式

    C.系统配置错误

    D.网络带宽异常

    答案:B

    解析:ATTCK框架通过整理攻击者在不同阶段(如初始访问、持久化、横向移动等)的具体技术(如钓鱼邮件、权限提升),帮助安全人员基于行为模式(TTPs)发现未知威胁。A依赖特征库检测,C/D属于配置或性能问题,与TTPs无关。

    以下哪种日志类型对检测横向移动攻击最关键?

    A.防火墙访问日志

    B.Windows安全日志(EventID4688/4624)

    C.应用系统业务日志

    D.数据库慢查询日志

    答案:B

    解析:横向移动攻击常涉及远程命令执行(如通过PowerShell)或凭证窃取后登录其他主机,Windows安全日志中的进程创建(4688)和登录事件(4624)能直接反映此类行为。A记录网络流量但缺乏进程级细节,C/D与攻击行为关联较弱。

    钓鱼攻击检测中,最关键的分析维度是?

    A.邮件附件大小

    B.发件人邮箱域名的仿冒程度

    C.邮件正文的字数

    D.邮件发送时间是否为工作日

    答案:B

    解析:钓鱼攻击的核心特征是仿冒可信来源(如将“”改为“”),诱导用户点击恶意链接或提供敏感信息。A/C/D均为非关键因素,大附件、长文本或非工作日邮件未必是钓鱼邮件。

    应急响应流程中,“抑制阶段”的主要目标是?

    A.收集攻击证据

    B.阻止攻击进一步扩散

    C.修复受影响系统

    D.总结事件经验

    答案:B

    解析:抑制阶段的核心是通过隔离受感染主机、关闭漏洞端口等手段,防止攻击者继续破坏或横向移动。A属于检测阶段,C属于根除与恢复阶段,D属于事后总结阶段。

    以下哪项不属于威胁情报的关键要素(IOC)?

    A.恶意IP地址

    B.攻击者组织名称

    C.恶意文件哈希值(MD5/SHA-256)

    D.钓鱼网站URL

    答案:B

    解析:IOC(指示物)是可被检测的具体技术指标,如IP、哈希、URL等;攻击者组织名称(如APT29)属于威胁情报中的上下文信息(Context),而非直接检测依据。

    网络流量分析中,“C2(指挥控制)通信”的典型特征是?

    A.流量突发且持续时间短

    B.与已知恶意IP的周期性通信

    C.高带宽下载大文件

    D.跨网段广播流量

    答案:B

    解析:C2通信通常表现为受感染主机与攻击者服务器的周期性心跳(如每5分钟发送一次请求),以保持控制。A可能是DDoS攻击,C可能是正常下载,D是网络广播风暴,均非C2典型特征。

    安全基线配置检查的主要目的是?

    A.发现系统漏洞

    B.确保系统符合最小权限原则

    C.监控用户行为

    D.提升网络传输速率

    答案:B

    解析:安全基线是系统的最小安全配置标准(如禁用不必要的服务、设置强密码策略),核心目的是通过标准化配置降低被攻击风险。A是漏洞扫描的目标,C是用户行为分析(UEBA)的目标,D与安全无关。

    以下哪类攻击属于“凭据滥用”(CredentialAccess)?

    A.通过SQL注入获取数据库权限

    B.利用哈希传递(Pass-the-Hash)登录系统

    C.发送勒索软件加密文件

    D.伪造DNS响应劫持流量

    答案:B

    解析:凭据滥用是攻击者利用窃取的合法凭证(如NTLM哈希)登录系统的行为,Pass-the-Hash是典型手段。A属于初始访问,C属于影响阶段(数据加密),D属于防御绕过。

    零信任模型的核心原则是?

    A.网络边界内的所有设备默认可信

    B.持续验证访问请求的身份、设备状态和上下文

    C.仅允许白名单内的应用程序运行

    D.对所有流量进行深度包检测

    答案:B

    解析:零信任的核心是“永不信任,始终验证”,要求每次访问请求(无论来自内网/外网)都需验证身份、设备健康状态(如是否安装最新补丁)、访问时间/位置等上下文信息。A是传统边界安全的假设,C是应用白名单策略,D是流量检测技术,均非零信任核心。

    二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)

    以下哪些属于SOC日常运营的核心工作?()

    A.监控告警并进行分诊(Triage)

    B.编写安全策略文

    您可能关注的文档

    最近下载

    文档评论(0)

    nastasia + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >