原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端设备漏洞扫描
B.集中日志管理与关联分析
C.网络流量加密传输
D.员工安全意识培训
答案:B
解析:SIEM的核心是通过收集、存储、分析日志数据,实现安全事件的关联检测与告警(正确)。A为漏洞扫描工具功能,C为VPN等加密技术功能,D为安全培训体系内容(错误)。
在威胁检测中,“异常基线偏离”通常用于识别:
A.已知特征的恶意软件
B.未被签名库覆盖的新型攻击
C.内部员工的合规操作
D.网络设备的硬件故障
答案:B
解析:异常检测通过基线对比发现偏离正常行为的活动(如异常登录时间、异常数据传输量),适用于未知攻击检测(正确)。A依赖特征库,C是合规范围,D属于运维问题(错误)。
以下哪类日志对检测横向移动攻击最关键?
A.防火墙访问日志
B.终端系统认证日志
C.数据库查询日志
D.邮件服务器接收日志
答案:B
解析:横向移动通常涉及跨设备认证(如使用窃取的凭证登录其他主机),终端认证日志可记录异常登录源(正确)。A记录网络流量,C记录数据库操作,D记录邮件交互(错误)。
ATTCK框架中“持久化(Persistence)”属于哪一层级?
A.战术(Tactics)
B.技术(Techniques)
C.过程(Procedures)
D.数据源(DataSources)
答案:A
解析:ATTCK框架分为战术(攻击阶段,如持久化、权限提升)、技术(具体方法,如注册表修改)、子技术三级(正确)。B是战术下的具体实现,C/D非框架核心层级(错误)。
钓鱼攻击检测中,最关键的分析维度是:
A.邮件附件大小
B.发件人邮箱域名真实性
C.邮件正文的语言风格
D.邮件发送的时间
答案:B
解析:伪造域名(如“”仿冒“”)是钓鱼邮件的核心特征(正确)。附件大小、语言风格、发送时间可作为辅助,但非最关键(错误)。
以下哪项不属于安全运营中的“响应处置”阶段工作?
A.隔离受感染设备
B.分析攻击路径溯源
C.修补系统漏洞
D.恢复业务系统
答案:B
解析:响应处置阶段包括隔离、修补、恢复(正确)。攻击路径溯源属于“分析验证”阶段(错误)。
网络流量分析中,“C2(命令与控制)通信”的典型特征是:
A.流量突发且持续时间短
B.与已知恶意IP的高频小数据包交互
C.传输大文件(如视频、压缩包)
D.流量符合业务系统正常通信模型
答案:B
解析:C2通信通常表现为恶意主机与控制服务器的低频/高频小数据包交互(正确)。A是DDoS特征,C是文件传输特征,D是正常流量(错误)。
安全基线配置检查的主要目的是:
A.验证系统是否符合最小安全要求
B.检测已知恶意软件
C.评估网络带宽使用情况
D.优化服务器性能
答案:A
解析:安全基线定义了系统必须满足的最低安全配置(如账户权限、日志开启状态),用于确保基础安全(正确)。B是杀毒软件功能,C是运维监控,D是性能优化(错误)。
以下哪种漏洞属于“高危漏洞”?
A.网站页面排版错误
B.数据库SQL注入漏洞(可获取管理员权限)
C.应用程序登录界面提示信息模糊
D.服务器时间同步偏差
答案:B
解析:SQL注入可导致数据泄露或系统接管,属于高危(正确)。A/C是功能缺陷,D是配置问题(错误)。
安全运营中“MTTR(平均修复时间)”的计算依据是:
A.从事件发生到事件关闭的时长
B.从事件检测到事件确认的时长
C.从事件响应到事件恢复的时长
D.从事件告警到事件处置完成的时长
答案:A
解析:MTTR是从事件发生(或可检测到)到完全修复并关闭事件的总时间(正确)。B是MTTD(检测时间),C/D是部分阶段时长(错误)。
二、多项选择题(共10题,每题2分,共20分)
威胁情报的主要来源包括:
A.开源情报(OSINT)如安全论坛、漏洞数据库
B.商业情报(CTI)如FireEye、IBMX-Force
C.内部威胁检测系统生成的日志
D.员工私下交流的敏感信息
答案:ABC
解析:威胁情报来源包括开源(A)、商业(B)、内部检测数据(C)。员工私下交流信息未经验证,不可作为正式情报来源(D错误)。
应急响应流程通常包括以下阶段:
A.准备(Preparation)
B.检测与分析(DetectionAnalysis)
C.抑制(Containment)
D.恢复(Recovery)
答案:ABCD
解析:NIST等标准定义的应急响应流程包含准备、检测分析、抑制、恢复、总结改进五大阶段(全选正确)。
日志的关键要素包括:
A.时间戳(Timestamp)
您可能关注的文档
- 2025年心理健康指导师考试题库(附答案和详细解析)(1015).docx
- 2025年计算机技术与软件专业技术资格(软考)考试题库(附答案和详细解析)(1014).docx
- 2025年导游资格考试考试题库(附答案和详细解析)(1021).docx
- 2025年价格鉴证师考试题库(附答案和详细解析)(1022).docx
- 2025年边缘计算工程师考试题库(附答案和详细解析)(1031).docx
- 2025年智能安防工程师考试题库(附答案和详细解析)(1031).docx
- 2025年注册信息安全经理(CISM)考试题库(附答案和详细解析)(1027).docx
- 2025年能源管理师考试题库(附答案和详细解析)(1030).docx
- 2025年注册计量师考试题库(附答案和详细解析)(1026).docx
- 2025年注册节能评估师考试题库(附答案和详细解析)(1029).docx
- 2025年房地产估价师考试题库(附答案和详细解析)(1101).docx
- 2025年健康评估师考试题库(附答案和详细解析)(1101).docx
- 2025年护士执业资格考试考试题库(附答案和详细解析)(1029).docx
- 2025年司法鉴定人考试题库(附答案和详细解析)(1028).docx
- 2025年注册测绘师考试题库(附答案和详细解析)(1014).docx
- 2025年注册室内设计师考试题库(附答案和详细解析)(1026).docx
- 2025年ESG分析师认证(CESGA)考试题库(附答案和详细解析)(1028).docx
- 2025年边缘计算工程师考试题库(附答案和详细解析)(1030).docx
- 2025年基因数据解读师考试题库(附答案和详细解析)(1031).docx
- 2025年运动康复师考试题库(附答案和详细解析)(1028).docx
文档评论(0)