原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
SIEM(安全信息与事件管理)系统的核心功能是:
A.终端设备防病毒
B.集中日志管理与分析
C.网络流量整形优化
D.物理服务器硬件监控
答案:B
解析:SIEM系统的核心是通过收集、归一化、关联分析多源日志(如网络设备、主机、应用日志),实现安全事件的集中监测与告警。选项A属于终端安全产品(如EDR)功能;C是网络设备(如路由器)的功能;D是运维监控系统(如Zabbix)的功能。
以下哪种攻击类型最可能通过邮件附件的宏病毒传播?
A.勒索软件
B.DDoS攻击
C.端口扫描
D.ARP欺骗
答案:A
解析:勒索软件常通过钓鱼邮件附件(如Word文档宏病毒)诱导用户执行恶意代码,加密文件后勒索赎金。B是流量洪泛攻击;C是信息收集手段;D是局域网内ARP表篡改攻击,均不依赖邮件附件传播。
在威胁检测中,“异常行为基线”的主要作用是:
A.记录已知恶意IP地址
B.定义系统正常操作范围
C.存储历史攻击事件报告
D.配置防火墙访问控制规则
答案:B
解析:异常行为基线通过分析系统/用户的正常操作模式(如登录时间、数据传输量),为检测偏离正常的行为(如非工作时间大量数据外传)提供参考标准。A是IP黑名单功能;C是事件日志存储;D是防火墙策略配置,均非基线核心作用。
以下哪项不属于SOC日常运营的“三同步”原则?
A.日志采集与设备上线同步
B.安全策略与业务变更同步
C.人员培训与系统升级同步
D.监控规则与威胁情报同步
答案:C
解析:SOC运营“三同步”指日志采集与设备上线同步、安全策略与业务变更同步、监控规则与威胁情报同步,确保监控覆盖无盲区。人员培训属于能力建设,非日常运营强制同步项。
当检测到疑似APT攻击事件时,优先采取的措施是:
A.立即断网隔离受影响设备
B.收集完整证据链并上报
C.重启受攻击服务器
D.升级终端防病毒软件
答案:B
解析:APT攻击具有隐蔽性强、持续时间长的特点,需优先保护现场(如保留日志、内存数据),避免破坏证据链,再按应急流程上报。A可能破坏攻击路径;C可能清除内存中的恶意进程;D无法应对已植入的定向恶意软件。
以下哪类日志对检测横向移动攻击最关键?
A.防火墙访问日志
B.终端登录日志
C.Web服务器访问日志
D.数据库查询日志
答案:B
解析:横向移动攻击(如通过SMB协议跨主机传播)常表现为异常的跨设备登录行为(如普通用户深夜登录服务器),终端登录日志(记录用户、时间、源IP)是关键检测依据。A主要用于边界流量监控;C用于Web业务访问分析;D用于数据库操作审计。
钓鱼攻击检测的核心技术不包括:
A.邮件内容关键词过滤
B.发件人域名仿冒检测
C.链接URL沙箱分析
D.服务器端口开放扫描
答案:D
解析:钓鱼攻击检测重点在邮件内容(关键词如“中奖”“账户异常”)、发件人身份(仿冒域名如“”)、附件/链接(通过沙箱分析是否恶意)。D是网络扫描技术,用于发现开放服务,与钓鱼检测无关。
在漏洞管理流程中,“风险评级”的主要依据是:
A.漏洞发现时间
B.漏洞利用复杂度
C.漏洞提交者身份
D.漏洞修复工具价格
答案:B
解析:漏洞风险评级通常基于CVSS(通用漏洞评分系统),核心指标包括攻击复杂度、影响范围、可利用性等。A、C、D均不影响实际风险等级。
以下哪项是ATTCK框架中“横向移动”战术的典型技术?
A.恶意软件下载(MalwareDownload)
B.远程服务利用(RemoteServices)
C.数据加密传输(DataEncryption)
D.系统服务启动(ServiceExecution)
答案:B
解析:ATTCK框架中,“横向移动”(LateralMovement)战术包含通过远程桌面(RDP)、SMB、SSH等远程服务渗透其他设备的技术。A属于“初始访问”(InitialAccess);C属于“命令与控制”(C2);D属于“执行”(Execution)。
基线核查的主要目的是:
A.验证系统是否符合安全配置标准
B.检测当前网络带宽使用情况
C.统计终端设备硬件配置信息
D.评估员工安全意识培训效果
答案:A
解析:基线核查通过比对预设的安全配置模板(如Windows安全策略、防火墙规则),确保系统处于“最小化风险”状态。B是流量监控;C是资产盘点;D是安全意识评估,均非基线核查目标。
二、多项选择题(共10题,每题2分,共20分)
以下属于SOC安全运营核心目标的有:
A.降低安全事件平均检测时间(MTTD)
B.实现完全自动化响应(无需人工干预)
C.提升安全事件平均解决时间(MTTR
文档评论(0)