2025年SOC安全运营工程师考试题库（附答案和详细解析）（1124）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端病毒查杀

B.集中日志管理与关联分析

C.网络流量负载均衡

D.物理服务器硬件监控

答案：B

解析：SIEM的核心功能是通过收集、存储、分析各类日志数据，实现威胁事件的关联分析与实时监控（如不同设备日志的时间线关联）。A为终端安全软件功能，C为网络设备功能，D为运维监控范畴，均非SIEM核心。

威胁检测中，以下哪类数据最常用于识别横向移动攻击？

A.防火墙访问控制日志

B.终端进程创建日志（如WindowsSysmon）

C.数据库慢查询日志

D.邮件服务器垃圾邮件过滤日志

答案：B

解析：横向移动攻击（如通过RDP、WMI等协议跨主机渗透）通常会在终端产生异常进程创建、远程线程注入等行为，Sysmon日志可捕获此类底层操作。A主要用于边界流量监控，C关注数据库性能，D用于邮件安全，均不直接反映横向移动。

安全事件响应流程的正确顺序是？

A.检测→确认→遏制→根除→恢复→总结

B.确认→检测→遏制→恢复→根除→总结

C.检测→遏制→确认→根除→恢复→总结

D.确认→检测→恢复→遏制→根除→总结

答案：A

解析：标准响应流程遵循“先发现（检测）、再验证（确认）、控影响（遏制）、清隐患（根除）、复业务（恢复）、防复发（总结）”的逻辑。其他选项顺序不符合最佳实践（如未确认即遏制可能误操作）。

以下哪种攻击属于“凭据窃取”类威胁？

A.钓鱼邮件诱导用户点击恶意链接

B.利用CVE-2021-44228（Log4j）漏洞执行代码

C.通过Mimikatz提取Windows内存中的明文密码

D.向目标服务器发送大量SYN请求导致拒绝服务

答案：C

解析：凭据窃取特指通过工具（如Mimikatz）或技术手段获取用户凭证（如密码、哈希值）的行为。A是社会工程，B是漏洞利用，D是DDoS攻击，均不属于凭据窃取。

日志分析中，“事件唯一性标识”字段的主要作用是？

A.用于关联同一事件在不同设备上的日志记录

B.记录日志生成的时间戳

C.标识日志来源设备的IP地址

D.描述事件的严重等级（如INFO/ERROR）

答案：A

解析：唯一性标识（如EventID、CorrelationID）可将分散在防火墙、终端、服务器等多设备的同一事件日志串联，形成完整时间线。B是时间戳字段，C是源IP字段，D是日志级别字段，均非唯一性标识的核心作用。

漏洞管理中，优先级最高的漏洞是？

A.CVSS评分3.5（中危）且影响内部测试服务器

B.CVSS评分9.8（高危）且影响生产环境核心系统

C.CVSS评分6.5（中危）且影响员工办公电脑

D.CVSS评分2.0（低危）且影响已下线的旧系统

答案：B

解析：漏洞优先级由“风险等级（CVSS）”和“资产重要性”共同决定。高危（CVSS≥7.0）且影响生产核心系统的漏洞可能导致直接业务中断或数据泄露，需优先修复。其他选项风险或资产重要性较低。

根据《信息安全技术网络安全事件分类分级指南》，以下哪类事件属于“特别重大网络安全事件”？

A.导致1000用户个人信息泄露

B.造成省级行政区域内关键信息基础设施中断1小时

C.导致国家级关键信息基础设施严重破坏，影响大范围公共秩序

D.造成企业内部办公系统中断2小时

答案：C

解析：特别重大事件需满足“对国家安全、社会秩序、经济建设、公众利益造成特别严重损害”，如国家级关键基础设施破坏。A（数量不足）、B（影响范围不足）、D（企业级影响）均属于一般或较大事件。

ATTCK框架中“横向移动（LateralMovement）”属于哪个阶段？

A.初始访问（InitialAccess）

B.执行（Execution）

C.持久化（Persistence）

D.命令与控制（CommandControl）之后的阶段

答案：D

解析：ATTCK杀伤链顺序为：初始访问→执行→持久化→权限提升→防御绕过→横向移动→收集→渗出→影响。横向移动发生在攻击者获得初始权限后，尝试控制更多主机的阶段，位于命令与控制之后。

应急响应中，“遏制（Containment）”阶段的首要目标是？

A.彻底清除系统中的恶意程序

B.防止事件影响扩散至其他资产

C.恢复受影响业务的正常运行

D.收集证据用于后续溯源分析

答案：B

解析：遏制阶段的核心是通过隔离受感染主机、关闭漏洞端口等手段，阻止攻击进一步扩散（如从一台服务器到整个内网）。A是根除阶段目标，C是恢复阶段目标，D是检测与分析阶段的任务。

以下哪项是SOC（安全运营中心）的关键绩效指标（KPI）？

A.服务器CPU平均使用率

B