原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端病毒查杀
B.集中日志管理与关联分析
C.网络流量负载均衡
D.物理服务器硬件监控
答案:B
解析:SIEM的核心功能是收集、存储、分析日志,并通过关联规则发现异常事件(如APT攻击、数据泄露)。选项A是EDR(端点检测与响应)的功能;C是负载均衡设备的功能;D是IT运维监控范畴,均不符合SIEM定义。
在安全事件分级中,“一级事件”通常指:
A.影响单个用户的账号被盗
B.核心业务系统宕机超过2小时
C.内部员工误删文档
D.网络延迟短暂升高
答案:B
解析:一级事件(严重事件)需满足“影响核心业务连续性/造成重大数据泄露/引发法律风险”等条件(如核心系统宕机超2小时)。A、C、D属于低级别事件(三级或四级)。
以下哪种日志类型对检测横向移动攻击最关键?
A.防火墙访问日志
B.Windows安全日志(SecurityEventLog)
C.应用服务器访问日志
D.数据库慢查询日志
答案:B
解析:横向移动(如通过SMB协议传播、使用PTH攻击)通常会在Windows安全日志中留下“失败的登录尝试”“特权账户活动”等痕迹。A主要记录网络流量;C记录应用访问;D记录数据库性能,均非核心。
ATTCK框架中“Tactic(战术)”的定义是:
A.攻击者的具体工具或技术
B.攻击过程中的阶段目标(如初始访问、持久化)
C.攻击者的组织背景信息
D.防御者的响应策略
答案:B
解析:ATTCK框架采用“战术(Tactic)-技术(Technique)-过程(Procedure)”三层结构,战术是攻击阶段的目标(如“权限提升”“横向移动”)。A是技术(Technique);C是威胁情报内容;D是防御措施。
以下哪项不属于威胁情报的IOC(指标)?
A.恶意文件哈希值(SHA-256)
B.攻击团伙的组织结构
C.可疑域名(如)
D.异常IP地址(如C2服务器IP)
答案:B
解析:IOC是可观测的攻击痕迹(如哈希、IP、域名),用于检测攻击。攻击团伙组织结构属于威胁情报中的“上下文信息(Context)”,不属于直接检测指标。
在应急响应中,“遏制(Containment)”阶段的首要目标是:
A.恢复受影响系统到正常状态
B.防止攻击范围扩大
C.收集攻击证据用于溯源
D.更新安全策略避免复发
答案:B
解析:遏制阶段的核心是阻断攻击路径(如隔离受感染主机、封禁C2域名),防止损失扩散。A是恢复阶段;C是分析阶段;D是总结阶段。
以下哪种流量特征最可能表示C2(命令与控制)通信?
A.周期性小流量HTTPS连接(如每5分钟1次)
B.大文件下载(如20GB/次)
C.内部员工访问公司邮箱(HTTPS)
D.数据库主从同步(MySQL协议)
答案:A
解析:C2通信通常采用低流量、周期性连接(避免被检测),使用HTTPS加密隐藏。B是正常文件传输;C是常规业务;D是数据库运维,均无异常。
安全基线检查的主要目的是:
A.发现最新0day漏洞
B.确保系统配置符合安全规范(如最小权限、补丁状态)
C.监控实时网络流量
D.评估员工安全意识
答案:B
解析:基线检查通过比对预设安全配置(如账户权限、防火墙规则、补丁版本),确保系统处于“安全初始状态”。A是漏洞扫描的目标;C是流量监控;D是安全培训范畴。
以下哪项是误报(FalsePositive)的典型场景?
A.检测到已知勒索软件特征(如WannaCry)
B.SIEM根据规则触发“特权账户异常登录”,但实际是管理员合规操作
C.终端检测到内存中存在未知恶意代码
D.防火墙记录到外部IP尝试暴力破解SSH
答案:B
解析:误报指系统误判正常行为为攻击。B中管理员操作合规,但被规则误触发;A、C、D均为真实攻击或可疑行为。
APT(高级持续性威胁)的核心特征是:
A.使用公开漏洞(如CVE-202X-XXXX)
B.攻击目标随机(如广泛扫描)
C.长期潜伏并针对特定目标
D.快速获取利益(如勒索赎金)
答案:C
解析:APT强调“持续性”(数月至数年)和“针对性”(如政府、能源等关键领域)。A是普通攻击;B是扫描器行为;D是勒索软件特征。
二、多项选择题(共10题,每题2分,共20分)
威胁情报的主要来源包括:
A.开源情报(OSINT,如安全博客、论坛)
B.商业情报(如FireEye、CrowdStrike报告)
C.内部威胁检测系统(如SIEM告警)
D.暗网爬虫(非授权获取信息)
答案:ABC
解析:合法威胁情报来源包括OSINT、商业情报、内部
您可能关注的文档
- 2025年价格鉴证师考试题库(附答案和详细解析)(1121).docx
- 2025年元宇宙应用开发师考试题库(附答案和详细解析)(1202).docx
- 2025年基因数据解读师考试题库(附答案和详细解析)(1130).docx
- 2025年房地产估价师考试题库(附答案和详细解析)(1129).docx
- 2025年数字营销师(CDMP)考试题库(附答案和详细解析)(1128).docx
- 2025年数据伦理合规师考试题库(附答案和详细解析)(1203).docx
- 2025年整理收纳师考试题库(附答案和详细解析)(1128).docx
- 2025年文物拍卖从业人员资格证考试题库(附答案和详细解析)(1128).docx
- 2025年注册冶金工程师考试题库(附答案和详细解析)(1117).docx
- 2025年注册地质工程师考试题库(附答案和详细解析)(1120).docx
文档评论(0)