2025年SOC安全运营工程师考试题库（附答案和详细解析）（1118）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.网络流量清洗（DDoS防护）

B.集中日志采集、关联分析与事件告警

C.终端恶意软件实时查杀

D.漏洞扫描与修复建议推送

答案：B

解析：SIEM的核心是通过收集多源日志（如网络、主机、应用），进行标准化处理、关联分析和实时告警，实现安全事件的集中监控。A是DDoS防护设备功能，C是EDR（端点检测与响应）功能，D是漏洞管理平台功能，均非SIEM核心。

在ATTCK框架中，“Persistence（持久化）”属于以下哪一层级？

A.战术（Tactics）

B.技术（Techniques）

C.过程（Procedures）

D.数据源（DataSources）

答案：A

解析：ATTCK框架采用“战术-技术-过程”三级结构，战术（Tactics）是攻击者的目标阶段（如持久化、横向移动），技术（Techniques）是实现战术的具体方法（如注册表修改），过程（Procedures）是技术的具体实施步骤。因此“持久化”属于战术层级。

以下哪种日志类型通常不包含用户身份信息？

A.网络设备的AAA日志（认证、授权、审计）

B.应用系统的登录日志

C.防火墙的流量转发日志

D.堡垒机的操作审计日志

答案：C

解析：防火墙流量转发日志主要记录源IP、目的IP、端口、协议等网络五元组信息，通常不包含用户身份（需结合认证系统日志关联）。其他选项均直接涉及用户认证或操作行为，包含用户身份信息。

当SOC监测到某服务器出现“异常高频DNS查询”事件时，最可能的攻击阶段是？

A.初始访问（InitialAccess）

B.命令与控制（CommandControl,C2）

C.数据外泄（Exfiltration）

D.横向移动（LateralMovement）

答案：B

解析：C2阶段攻击者常通过DNS隧道传输指令，表现为异常高频或非标准DNS查询（如长域名、随机子域名）。初始访问多为漏洞利用或钓鱼，数据外泄多为大流量外传，横向移动多为远程命令执行，均与DNS高频查询无直接关联。

以下哪项不属于威胁情报的核心要素（IOC）？

A.恶意文件哈希（MD5/SHA256）

B.攻击组织别名（如APT29）

C.可疑IP地址

D.恶意域名

答案：B

解析：IOC（指示物）是可检测的具体指标，如哈希、IP、域名等；攻击组织别名属于威胁情报中的“威胁主体”信息，用于描述攻击者身份，而非直接检测指标。

在事件响应流程中，“根除（Eradication）”阶段的主要目标是？

A.阻止攻击进一步扩散

B.彻底清除系统中的恶意组件

C.恢复业务到正常状态

D.总结事件经验并更新防御策略

答案：B

解析：事件响应五阶段（准备、检测分析、抑制、根除、恢复、后行动）中，根除阶段的核心是清除残留恶意代码、修复漏洞、吊销被窃取凭证等，确保攻击源被彻底移除。A是抑制阶段目标，C是恢复阶段目标，D是后行动阶段目标。

以下哪种日志分析方法最适用于检测未知威胁？

A.基于特征的匹配（Signature-based）

B.基于规则的关联分析（Rule-based）

C.基于行为的异常检测（Behavioral-based）

D.基于白名单的访问控制（Whitelist-based）

答案：C

解析：未知威胁无已知特征或规则，需通过基线学习（如用户/设备正常行为模式）检测偏离基线的异常行为（如深夜异常登录、非业务时间大文件传输）。其他方法依赖已知模式，无法检测未知威胁。

以下哪项是SOC团队进行“威胁狩猎”（ThreatHunting）的典型场景？

A.处理已触发告警的确认与处置

B.在无明确告警时主动搜索潜在威胁

C.定期进行漏洞扫描与修复跟进

D.制定安全策略与合规检查

答案：B

解析：威胁狩猎是主动、前瞻性的威胁检测，通过假设驱动（如“假设内网存在C2通信”）或数据驱动（如异常流量分析）寻找未被现有系统发现的威胁。A是事件响应，C是漏洞管理，D是策略合规，均非威胁狩猎。

以下哪种协议常用于安全设备与SIEM系统的日志传输？

A.SMTP（简单邮件传输协议）

B.Syslog（系统日志协议）

C.FTP（文件传输协议）

D.DNS（域名系统协议）

答案：B

解析：Syslog是标准日志传输协议（RFC5424），广泛用于网络设备、主机、安全设备向日志服务器或SIEM发送日志。SMTP用于邮件，FTP用于文件传输，DNS用于域名解析，均非日志传输主要协议。

在评估安全事件的“优先级”时，最关键的考量因素是？

A.事件触发的告警数量

B.受影响资产的业务重要性

C