2025年SOC安全运营工程师考试题库（附答案和详细解析）（1017）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备防病毒

B.集中日志采集与关联分析

C.网络流量清洗（DDoS防护）

D.漏洞扫描与修复建议

答案：B

解析：SIEM的核心功能是通过收集多源日志（如网络、主机、应用日志），进行标准化、关联分析和实时监控，实现威胁检测与事件响应。A为EDR（终端检测响应）功能，C为WAF或DDoS防护设备功能，D为漏洞管理平台功能，均非SIEM核心。

在ATTCK框架中，“横向移动”属于以下哪个层级？

A.战术（Tactics）

B.技术（Techniques）

C.过程（Procedures）

D.数据源（DataSources）

答案：A

解析：ATTCK框架采用“战术-技术-过程”三层结构，其中“横向移动”（LateralMovement）是攻击者在目标网络内扩大控制范围的战术（Tactics），对应TA0008战术分类。技术（Techniques）是具体实现战术的方法（如使用Psexec），过程（Procedures）是特定攻击中的具体操作步骤。

以下哪种日志类型通常不包含用户行为信息？

A.防火墙会话日志

B.终端系统安全日志（WindowsEventLog）

C.Web应用访问日志（Apache/Nginx）

D.数据库慢查询日志

答案：D

解析：数据库慢查询日志主要记录执行时间过长的SQL语句，用于性能优化，通常不包含用户身份或操作内容（如登录、数据修改）。A记录源/目的IP、端口等会话信息，B记录登录、权限变更等安全事件，C记录用户访问URL、UA等行为，均包含用户行为信息。

勒索软件攻击的关键特征是？

A.横向移动时使用0day漏洞

B.加密用户文件并索要赎金

C.长期潜伏窃取敏感数据

D.利用钓鱼邮件传播木马

答案：B

解析：勒索软件（Ransomware）的核心特征是通过加密受害者文件/系统，迫使支付赎金以恢复数据。A是APT攻击可能的手段，C是APT或间谍软件特征，D是传播途径（非关键特征）。

安全运营中“MTTR”指标的含义是？

A.平均检测时间（MeanTimeToDetect）

B.平均响应时间（MeanTimeToRespond）

C.平均恢复时间（MeanTimeToRecover）

D.平均修复时间（MeanTimeToRemediate）

答案：B

解析：MTTR（MeanTimeToRespond）指从事件确认到采取有效处置措施的平均时间，是衡量响应效率的核心指标。A为MTTD，C为MTTR（部分场景），D为MTTR的延伸（修复具体漏洞）。

以下哪项不属于安全基线检查的内容？

A.服务器账户是否启用密码复杂度策略

B.网络设备是否开启SSH版本2协议

C.数据库是否启用审计日志功能

D.终端是否安装最新版防病毒软件

答案：D

解析：安全基线检查关注系统配置合规性（如账户策略、协议版本、日志审计），而“安装最新版软件”属于补丁管理或软件版本控制范畴，不属于基线（基线是“最低安全配置要求”）。

在威胁情报分级中，“IOC”指的是？

A.攻击指标（IndicatorsofCompromise）

B.威胁情报源（IntelligenceofCyberspace）

C.控制指令（InstructionofCommand）

D.漏洞编号（IdentifierofVulnerability）

答案：A

解析：IOC（IndicatorsofCompromise）是已被攻击渗透的技术指标（如恶意IP、哈希值、域名），用于检测攻击痕迹。B为错误表述，C为C2（CommandControl）功能，D为CVE等漏洞编号。

以下哪种场景最可能触发“误报”？

A.防火墙检测到来自已知APT组织IP的访问

B.SIEM基于“同一IP频繁登录失败”规则告警

C.终端检测到系统文件被未知进程修改

D.网络流量中出现TLS加密的C2通信

答案：B

解析：“同一IP频繁登录失败”可能是合法用户输错密码，属于常见误报场景。A（已知威胁IP）、C（未知进程修改系统文件）、D（TLS加密C2）均更可能为真实攻击。

应急响应流程中，“事件隔离”的主要目的是？

A.收集完整的攻击证据

B.防止攻击范围扩大

C.分析攻击路径与手法

D.恢复受影响业务系统

答案：B

解析：事件隔离（如断开网络、禁用账户）的核心目的是阻止攻击者进一步破坏或扩散（如横向移动、加密更多文件）。A是取证阶段任务，C是分析阶段任务，D是恢复阶段任务。

以下哪项属于“主动防御”技术？

A.入侵检测系统