原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端漏洞扫描
B.日志集中采集与关联分析
C.网络流量清洗(DDoS防护)
D.恶意代码沙箱检测
答案:B
解析:SIEM的核心是通过集中采集日志(如设备日志、应用日志),并基于规则或机器学习进行关联分析,发现异常事件。A是漏洞扫描工具功能,C是DDoS防护设备功能,D是沙箱系统功能,均非SIEM核心。
威胁情报的TIP(威胁情报平台)中,“STIX”格式的主要作用是?
A.定义威胁情报的传输协议
B.标准化威胁情报的数据结构
C.实现不同安全设备的接口兼容
D.加密传输过程中的敏感信息
答案:B
解析:STIX(结构化威胁信息表达)是一种用于标准化威胁情报数据的语言规范,便于不同系统间的情报共享。A是传输协议(如TAXII)的作用,C是API接口的功能,D是加密技术的作用,均错误。
以下哪种攻击场景最可能触发SOC的“横向移动”告警?
A.外部IP尝试暴力破解SSH登录
B.内网主机A访问互联网购物网站
C.内网主机B通过SMB协议访问主机C的管理员共享
D.服务器D的CPU利用率突然升至90%
答案:C
解析:横向移动是攻击者在内网中从已控制主机向其他主机扩散的行为,常见手段包括SMB/CIFS共享访问、WMI远程执行等(C选项)。A是初始访问阶段,B是正常上网行为,D可能是业务高峰或勒索软件,但非典型横向移动。
安全运营中“MTTR”指标的全称是?
A.平均检测时间(MeanTimeToDetect)
B.平均响应时间(MeanTimeToRespond)
C.平均修复时间(MeanTimeToRecover)
D.平均确认时间(MeanTimeToConfirm)
答案:B
解析:MTTR(MeanTimeToRespond)指从事件确认到完成处置的平均时间,是衡量响应效率的核心指标。A是MTTD,C是MTTR(部分场景),D无标准定义,故B正确。
以下哪类日志对检测APT(高级持续性威胁)最关键?
A.防火墙访问日志
B.终端进程创建日志(ProcessCreation)
C.邮件服务器发送日志
D.网络设备ARP日志
答案:B
解析:APT攻击常通过恶意软件在终端执行(如木马),终端进程创建日志(如Windows的Sysmon事件1)可记录异常进程(如非信任路径的可执行文件),是检测潜伏攻击的关键。A、C、D日志颗粒度较粗,难以直接发现隐蔽攻击。
当SOC收到“某主机与C2服务器通信”的告警时,首要操作是?
A.立即隔离该主机
B.验证告警真实性(如检查通信内容、主机是否被植入恶意软件)
C.通知运维重启主机
D.向管理层汇报事件等级
答案:B
解析:SOC流程要求先验证告警真实性(可能是误报),避免误操作。A(隔离)是确认后的处置步骤,C(重启)可能破坏证据,D(汇报)需在确认后进行,故B正确。
以下哪种工具通常用于威胁狩猎(ThreatHunting)?
A.漏洞扫描器(Nessus)
B.端点检测与响应(EDR)
C.网络防火墙(FortiGate)
D.网页防篡改系统(WAF)
答案:B
解析:威胁狩猎需要主动分析终端或网络的细粒度数据,EDR(如CrowdStrike)可提供终端进程、文件、网络连接的详细日志,支持狩猎。A是漏洞检测,C是边界防护,D是Web防护,均不直接支持狩猎。
安全运营中“白名单”策略的主要目的是?
A.限制所有未知流量
B.允许已知合法的操作(如进程、IP)
C.阻断所有恶意软件
D.替代入侵检测系统(IDS)
答案:B
解析:白名单策略通过允许明确授权的对象(如可信IP、白名单进程),降低攻击面。A是黑名单策略的目的(阻断未知),C无法完全实现,D不能替代IDS,故B正确。
以下哪项属于“合规性监控”的典型场景?
A.检测SQL注入攻击
B.监控用户是否按权限访问敏感数据(如财务系统)
C.分析DDoS攻击流量特征
D.识别钓鱼邮件的发件人域名
答案:B
解析:合规性监控关注是否符合内部或外部法规(如GDPR、等保2.0),例如用户权限是否最小化、敏感数据访问是否审计(B选项)。A、C、D是安全事件检测,非合规场景。
当SOC发现“某员工终端安装了非公司授权软件”,最可能关联的安全风险是?
A.软件携带恶意代码(如勒索软件)
B.终端CPU资源被耗尽
C.员工工作效率降低
D.网络带宽被占用
答案:A
解析:非授权软件(如破解工具、第三方插件)可能被植入恶意代码,是常见的攻击入口。B、D是资源占用问题,C是效率问题,均非核心安全风
您可能关注的文档
- 2025年精准医疗工程师考试题库(附答案和详细解析)(1103).docx
- 2025年康养管理师考试题库(附答案和详细解析)(1101).docx
- 2025年执业医师资格考试考试题库(附答案和详细解析)(1020).docx
- 2025年公关策划师考试题库(附答案和详细解析)(1102).docx
- 2025年企业合规师考试题库(附答案和详细解析)(1024).docx
- 2025年公关策划师考试题库(附答案和详细解析)(1010).docx
- 2025年注册消防工程师考试题库(附答案和详细解析)(1103).docx
- 2025年灾难应对心理师考试题库(附答案和详细解析)(1104).docx
- 2025年美国注册会计师(AICPA)考试题库(附答案和详细解析)(1104).docx
- 2025年跨境电商运营师考试题库(附答案和详细解析)(1103).docx
- 2025年渗透测试工程师考试题库(附答案和详细解析)(1015).docx
- 2025年税务师职业资格考试考试题库(附答案和详细解析)(1013).docx
- 2025年金融科技师考试题库(附答案和详细解析)(1017).docx
- 2025年注册展览设计师考试题库(附答案和详细解析)(1021).docx
- 2025年计算机视觉工程师考试题库(附答案和详细解析)(1103).docx
- 2025年影视后期制作师考试题库(附答案和详细解析)(1028).docx
- 2025年注册财富管理师(CWM)考试题库(附答案和详细解析)(1029).docx
- 2025年执业医师资格考试考试题库(附答案和详细解析)(1102).docx
- 2025年智慧教育工程师考试题库(附答案和详细解析)(1104).docx
- 2025年中医养生保健师考试题库(附答案和详细解析)(1104).docx
文档评论(0)