2025年SOC安全运营工程师考试题库（附答案和详细解析）（1123）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.漏洞扫描与修复

B.集中日志采集与分析

C.网络流量清洗与DDoS防护

D.终端设备补丁管理

答案：B

解析：SIEM的核心是通过收集、标准化和分析日志数据，实现安全事件的集中监控与关联分析（正确）。漏洞扫描是VulnScanner功能（A错误）；流量清洗是WAF/DDos防护设备功能（C错误）；补丁管理是配置管理系统功能（D错误）。

在威胁检测中，“异常基线”的主要作用是？

A.识别已知恶意特征

B.发现偏离正常行为的活动

C.阻断所有外部连接请求

D.记录用户所有操作日志

答案：B

解析：异常基线通过定义“正常行为范围”（如用户登录时间、设备通信频率），检测偏离基线的异常活动（正确）。已知恶意特征检测依赖签名库（A错误）；阻断连接是防火墙功能（C错误）；记录日志是审计功能（D错误）。

以下哪种攻击类型属于“横向移动”阶段的典型行为？

A.钓鱼邮件投递恶意附件

B.利用漏洞获取服务器权限

C.从办公终端渗透至财务数据库

D.加密目标主机文件勒索赎金

答案：C

解析：横向移动指攻击者在已控制设备基础上，向其他设备或系统扩展权限（如从终端到数据库）（正确）。A是初始访问，B是权限获取，D是影响阶段（破坏数据）（均错误）。

关于ATTCK框架，以下描述正确的是？

A.仅包含攻击技术，不涉及战术分类

B.是企业内部安全策略的执行规范

C.覆盖攻击全生命周期的战术与技术

D.主要用于漏洞风险等级评估

答案：C

解析：ATTCK（MITRE攻击框架）通过“战术-技术-子技术”分层，覆盖从初始访问到影响的全攻击阶段（正确）。A错误（框架包含战术分类）；B是安全策略文档功能；D是CVSS评分功能（均错误）。

安全运营中“白名单”策略的主要适用场景是？

A.检测未知威胁的异常行为

B.严格控制仅允许的合法操作

C.替代入侵检测系统的实时监控

D.记录所有网络流量的源目地址

答案：B

解析：白名单通过明确允许的操作（如可信IP、合法进程），实现最小权限控制（正确）。A是异常检测功能；C错误（白名单无法替代IDS）；D是流量镜像功能（均错误）。

以下哪项是EDR（端点检测与响应）的核心能力？

A.网络流量深度包检测

B.终端进程行为监控与响应

C.防火墙规则动态调整

D.漏洞扫描报告生成

答案：B

解析：EDR通过在终端部署代理，监控进程、文件、注册表等行为，支持主动阻断或隔离（正确）。A是NIDS功能；C是防火墙功能；D是漏洞扫描工具功能（均错误）。

在安全事件分级中，“关键业务系统中断超过4小时”通常属于？

A.一级（重大）事件

B.二级（较大）事件

C.三级（一般）事件

D.四级（轻微）事件

答案：A

解析：根据《网络安全事件分级指南》，关键业务中断≥4小时或影响用户≥10万属于一级事件（正确）。B为中断2-4小时，C为中断1-2小时，D为中断1小时（均错误）。

日志完整性校验的主要目的是？

A.减少日志存储占用空间

B.防止日志被篡改或丢失

C.提升日志查询检索速度

D.过滤无关的冗余日志数据

答案：B

解析：通过哈希值或数字签名校验日志完整性，确保日志未被攻击者删除或修改（正确）。A是日志压缩功能；C是索引优化功能；D是日志过滤功能（均错误）。

以下哪种威胁情报类型对实时检测最具价值？

A.战略级（如APT组织背景）

B.战术级（如攻击IP/域名）

C.操作级（如漏洞利用代码）

D.合规级（如行业监管要求）

答案：B

解析：战术级情报包含可直接用于检测规则的IOC（指示物），如恶意IP、域名、哈希值，可快速更新到防火墙/IDS中（正确）。A用于长期防御策略；C用于漏洞修复；D用于合规检查（均错误）。

安全基线检查的主要目标是？

A.发现网络中的非法设备

B.确保系统配置符合安全规范

C.监控用户的实时操作行为

D.评估网络带宽使用情况

答案：B

解析：基线检查通过对比预设的安全配置模板（如账户权限、防火墙规则），确保设备/系统配置符合最小权限原则（正确）。A是设备发现功能；C是审计日志功能；D是流量监控功能（均错误）。

二、多项选择题（共10题，每题2分，共20分）

以下属于SOC（安全运营中心）核心职责的有？

A.安全事件监测与响应

B.安全策略制定与优化

C.员工网络安全培训

D.物理服务器硬件维修

答案：ABC

解析：SOC负责安全运营全流程，包括监测响应（A）、策略优化（B）、人员培训（C）（正确）。物理硬件维修属于IT运维职责（D错误）。

威胁检测中“误报”的常见原因包括？

A.检测规则过于宽松

B