1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1022).docxVIP

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1022).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    SIEM(安全信息与事件管理)系统的核心功能是?

    A.终端设备漏洞扫描

    B.集中日志采集、存储与关联分析

    C.网络流量深度包检测(DPI)

    D.防火墙策略配置管理

    答案:B

    解析:SIEM的核心是通过收集多源日志(如网络、主机、应用),进行标准化存储和关联分析,发现潜在威胁。A是漏洞扫描工具功能,C是IDS/IPS功能,D是防火墙管理平台功能,均非SIEM核心。

    以下哪种日志最能反映用户异常操作行为?

    A.网络设备的ACL日志

    B.主机的进程创建日志(ProcessCreationLog)

    C.防火墙的NAT转换日志

    D.数据库的慢查询日志

    答案:B

    解析:进程创建日志记录了用户启动的程序及参数,可用于检测恶意软件执行(如rundll32异常调用)或权限提升操作。A记录网络访问控制,C记录地址转换,D记录数据库性能,均无法直接反映用户行为异常。

    当检测到某IP与C2服务器(命令与控制服务器)通信时,SOC工程师的首要操作是?

    A.立即封禁该IP

    B.验证通信是否为合法业务(如海外CDN节点)

    C.向管理层汇报事件等级

    D.提取日志并分析攻击路径

    答案:B

    解析:需先排除误报(如业务系统正常连接海外API),避免误操作影响业务。A可能导致业务中断,C和D属于后续步骤,首要任务是确认事件真实性。

    以下哪种攻击属于“横向移动”阶段?

    A.钓鱼邮件投递恶意文档

    B.利用漏洞获取主机权限

    C.从被攻陷主机扫描内网其他设备

    D.加密勒索目标主机数据

    答案:C

    解析:横向移动指攻击者在已控制主机上扫描并渗透内网其他设备,扩大控制范围。A是初始访问,B是权限获取,D是破坏阶段。

    威胁情报的“STIX”格式主要用于?

    A.日志标准化存储

    B.威胁信息的结构化共享

    C.漏洞修复优先级排序

    D.攻击路径可视化展示

    答案:B

    解析:STIX(结构化威胁信息表达式)是OASIS标准,用于不同安全系统间威胁情报的标准化交换。A是CEF/LEEF格式,C是CVSS评分,D是图数据库或拓扑工具功能。

    应急响应中的“遏制(Containment)”阶段核心目标是?

    A.恢复业务至正常状态

    B.防止攻击影响进一步扩大

    C.收集证据用于溯源

    D.更新安全策略防止复发

    答案:B

    解析:遏制阶段通过隔离受感染设备、关闭漏洞等措施,阻止攻击扩散。A是恢复阶段,C是取证阶段,D是改进阶段。

    以下哪项不属于“误报(FalsePositive)”的常见原因?

    A.安全规则未排除合法业务场景

    B.攻击者使用0day漏洞绕过检测

    C.日志采集不完整导致特征误判

    D.规则阈值设置过于敏感

    答案:B

    解析:0day漏洞因无已知特征,会导致“漏报(FalseNegative)”;误报是将正常行为误判为攻击,常见于规则不精准(A、D)或日志缺失(C)。

    用于检测“内存马”攻击的关键日志是?

    A.网络出口流量日志

    B.主机的内核模块加载日志

    C.数据库的事务日志

    D.Web服务器的访问日志

    答案:B

    解析:内存马(如WebShell驻留内存)不写入磁盘,需通过内核模块加载、进程注入等日志(如Linux的auditd或Windows的ETW事件)检测。A、D仅记录网络行为,C记录数据库操作,无法直接发现内存级攻击。

    以下哪种协议常用于安全设备与SIEM系统的日志传输?

    A.FTP

    B.Syslog(RFC5424)

    C.SMB

    D.NTP

    答案:B

    解析:Syslog是标准日志传输协议(UDP/TCP),广泛用于网络设备、主机向SIEM发送日志。A用于文件传输,C用于共享文件,D用于时间同步。

    在威胁狩猎中,“假设驱动(Hypothesis-Driven)”的核心是?

    A.基于已知IOC(指示符)搜索

    B.预设可能的攻击场景并验证

    C.自动化分析所有异常事件

    D.依赖第三方威胁情报触发

    答案:B

    解析:威胁狩猎需主动提出假设(如“是否存在内网横向移动”),通过日志分析验证假设是否成立。A是被动检测,C是事件响应,D是情报驱动狩猎。

    二、多项选择题(共10题,每题2分,共20分)

    SOC日常监控中需重点关注的日志源包括?()

    A.防火墙的会话日志(SessionLog)

    B.域控制器的安全日志(SecurityEventLog)

    C.员工个人手机的通话记录

    D.Web应用防火墙(WAF)的攻击日志

    答案:ABD

    解析:C属于个人隐私数据,不在企业安全监控范围内;A记录网络访问行为,B记录账号登录/权限变更(如暴力破解),D记录Web层攻击(如SQL注入),均为关键日志源。

    以下哪些是“异常检测”的常用方法?()

    您可能关注的文档

    最近下载

    文档评论(0)

    杜家小钰 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >