1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1209).docxVIP

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1209).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端病毒查杀

    B.集中日志管理与关联分析

    C.网络流量整形

    D.物理服务器巡检

    答案:B

    解析:SIEM的核心是通过收集、标准化、存储多源日志,并基于规则或机器学习进行关联分析,发现潜在威胁。A为EDR(端点检测与响应)功能,C为网络设备功能,D为运维管理内容,均非SIEM核心。

    ATTCK框架的主要作用是?

    A.评估漏洞严重程度(如CVSS)

    B.描述攻击者的战术与技术(TTPs)

    C.生成入侵检测规则库

    D.计算网络带宽需求

    答案:B

    解析:ATTCK(AdversarialTactics,Techniques,andCommonKnowledge)是MITRE组织发布的攻击者行为知识库,用于描述攻击者从初始访问到数据泄露的全阶段战术(Tactics)和技术(Techniques)。A是CVSS的作用,C是Snort等IDS工具的功能,D与安全无关。

    以下哪种告警类型通常属于“误报”?

    A.某IP尝试暴力破解SSH登录(连续10次失败)

    B.员工终端访问公司内部财务系统(正常权限)

    C.外部IP访问公司DMZ区Web服务器(白名单内)

    D.终端检测到已知勒索软件特征(如WannaCry)

    答案:C

    解析:误报指符合告警规则但实际无威胁的事件。C中外部IP在白名单内,访问DMZ区是正常业务行为,属于误报。A(暴力破解)、D(勒索软件)是真实威胁,B(正常权限访问)一般不触发告警。

    安全运营中“告警分诊”的主要目的是?

    A.增加告警数量以体现工作价值

    B.筛选高优先级告警并分配处置

    C.关闭所有低风险告警

    D.记录所有告警的原始日志

    答案:B

    解析:告警分诊通过分析告警的可信度、影响范围、紧急程度,将高风险告警优先分配给分析师处理,避免资源浪费。A违背实际目标,C错误(低风险需记录非直接关闭),D是日志存储的职责。

    以下哪个工具常用于威胁情报共享?

    A.MISP(MalwareInformationSharingPlatform)

    B.Wireshark(网络抓包工具)

    C.Nessus(漏洞扫描器)

    D.Splunk(日志分析平台)

    答案:A

    解析:MISP是专门用于安全团队共享威胁情报(如恶意IP、哈希值)的开源平台。B用于流量分析,C用于漏洞检测,D用于日志管理,均非情报共享工具。

    网络安全事件分级的核心依据是?

    A.事件发生的时间(如夜间比白天严重)

    B.事件造成的业务影响和数据泄露风险

    C.攻击者的IP归属地(如国外比国内严重)

    D.告警触发的规则数量(数量越多越严重)

    答案:B

    解析:事件分级需基于对业务系统(如可用性、完整性)和数据(如敏感信息泄露)的实际影响,是ISO27035等标准的要求。A、C、D均为次要或无关因素。

    以下哪项属于“横向移动”攻击阶段?

    A.攻击者通过钓鱼邮件投递恶意附件

    B.攻击者获取普通用户权限后尝试登录域控

    C.攻击者加密服务器数据索要赎金

    D.攻击者在暗网出售窃取的用户数据

    答案:B

    解析:横向移动(LateralMovement)指攻击者在已渗透的主机上,利用漏洞或凭证窃取,尝试访问同一网络内其他主机(如从普通终端到域控)。A是初始访问,C是数据加密(勒索),D是数据泄露后行为。

    日志中“事件相关性”分析的关键是?

    A.日志的存储容量

    B.不同日志源(如网络、终端)的时间戳对齐

    C.日志的显示格式美观度

    D.日志文件的压缩率

    答案:B

    解析:相关性分析需将多源日志(如防火墙、终端、SIEM)的时间线对齐,关联同一时间窗口内的异常行为(如登录失败后横向移动)。A、C、D与分析逻辑无关。

    以下哪项不属于SOC日常运营的核心指标?

    A.MTTR(平均修复时间)

    B.告警误报率

    C.服务器CPU利用率

    D.威胁情报更新频率

    答案:C

    解析:SOC核心指标关注安全运营效率(MTTR)、质量(误报率)、资源有效性(情报更新)。服务器CPU利用率是运维监控指标,非安全运营核心。

    以下哪种场景最适合使用威胁狩猎(ThreatHunting)?

    A.处理已触发告警的已知攻击

    B.发现未被现有规则检测到的潜在威胁

    C.定期进行漏洞扫描

    D.配置防火墙访问控制列表

    答案:B

    解析:威胁狩猎是主动、非基于告警的威胁发现过程,用于识别隐藏的高级威胁(如APT)。A是告警响应,C是漏洞管理,D是基础防护配置。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SOC安全运营核心流程的有?()

    A.威胁情报收集与分析

    B.安全漏洞修复

    C.事件应急响应

    D.

    您可能关注的文档

    最近下载

    文档评论(0)

    level来福儿 + 关注
    实名认证
    文档贡献者

    二级计算机、经济专业技术资格证持证人

    好好学习

    咨询Ta 进入空间
    领域认证该用户于2025年09月05日上传了二级计算机、经济专业技术资格证

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >