原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.漏洞扫描与修复
B.集中日志采集、分析与关联
C.网络流量清洗与DDoS防护
D.终端设备硬件监控
答案:B
解析:SIEM的核心是通过收集多源日志(如网络、主机、应用日志),进行标准化处理、关联分析和实时告警,帮助SOC团队发现异常行为。A是漏洞管理工具功能,C是WAF/抗DDoS设备功能,D是IT运维监控范畴,均非SIEM核心。
ATTCK框架中“横向移动”属于哪一层级?
A.战术(Tactics)
B.技术(Techniques)
C.过程(Procedures)
D.威胁组(Groups)
答案:A
解析:ATTCK框架分为战术(攻击阶段,如初始访问、横向移动)和技术(具体攻击方法,如SMB横向移动)。横向移动是攻击者在目标网络内扩大控制范围的阶段,属于战术层。B是具体实现方式,C/D非框架标准层级。
以下哪种日志通常包含用户登录失败的详细信息?
A.网络流量日志(NetFlow)
B.主机安全日志(SecurityEventLog)
C.应用访问日志(AccessLog)
D.数据库慢查询日志(SlowQueryLog)
答案:B
解析:主机安全日志(如Windows的SecurityLog或Linux的/var/log/secure)记录认证事件(如登录成功/失败、权限变更)。A记录流量统计信息,C记录应用请求内容,D记录数据库查询性能,均不直接包含登录失败详情。
当SOC团队发现某终端存在异常进程(如未知可执行文件持续连接C2服务器),优先采取的措施是?
A.立即断开该终端网络连接
B.收集完整内存转储和进程快照
C.通知终端用户重启设备
D.上报管理层等待决策
答案:B
解析:事件响应的首要步骤是“保留证据”,需在采取隔离措施前收集关键日志(如进程树、网络连接、文件哈希),避免数据丢失。A(隔离)是后续步骤,C可能破坏证据,D延误响应时机。
以下哪项不属于威胁情报的常见分类?
A.指标型情报(IOC)
B.战术型情报(TTPs)
C.战略型情报(ThreatActor背景)
D.漏洞修复型情报(PatchNotes)
答案:D
解析:威胁情报通常分为指标型(如恶意IP/哈希)、战术型(攻击手法)、战略型(威胁组织背景)。漏洞修复说明(PatchNotes)属于补丁管理信息,非威胁情报核心分类。
用于检测异常文件操作(如敏感文件被未授权复制)的最佳工具是?
A.NIDS(网络入侵检测系统)
B.HIDS(主机入侵检测系统)
C.WAF(Web应用防火墙)
D.流量分析工具(如Wireshark)
答案:B
解析:HIDS部署在主机上,可监控文件系统变更、进程行为(如文件读取/写入权限),直接检测本地异常操作。A监控网络流量,C防护Web应用层攻击,D用于流量分析,均无法直接检测本地文件操作。
以下哪种场景最可能触发SOC的“高优先级事件”?
A.员工终端感染低风险广告软件
B.财务系统数据库出现异常增删操作
C.办公网出口流量短暂超出阈值
D.邮件服务器收到100封垃圾邮件
答案:B
解析:高优先级事件需满足“影响核心资产/业务”,财务数据库的异常操作直接威胁敏感数据安全。A(低风险)、C(短暂波动)、D(常规垃圾邮件)均属于中低优先级。
以下哪项是日志标准化(LogNormalization)的主要目的?
A.减少日志存储占用空间
B.统一不同来源日志的字段格式
C.加密敏感日志内容
D.提高日志查询速度
答案:B
解析:不同设备(如防火墙、交换机、服务器)的日志格式(时间戳、事件类型)差异大,标准化通过定义统一字段(如source_ip、event_type)便于关联分析。A是日志压缩/归档的目的,C是日志脱敏,D依赖索引优化。
关于EDR(终端检测与响应)的核心功能,以下描述正确的是?
A.仅监控终端网络流量,不涉及本地进程
B.支持对恶意进程的远程隔离与清除
C.替代防病毒软件(AV)成为唯一防护手段
D.主要用于检测网络层攻击(如SQL注入)
答案:B
解析:EDR通过轻量级代理监控终端全生命周期(进程、文件、注册表),支持远程响应(如终止恶意进程、隔离文件)。A错误,因EDR需监控本地进程;C错误,EDR与AV是互补关系;D错误,网络层攻击检测是NIDS/NIPS的职责。
在SOC事件响应流程中,“根因分析(RootCauseAnalysis)”的主要输出是?
A.事件处理的时间统计报告
B.攻击者的IP地址和C2服务器
C.攻击路径、薄弱点及改进建议
D.受影
您可能关注的文档
- 2025年会计专业技术资格考试题库(附答案和详细解析)(1207).docx
- 2025年保荐代表人资格考试考试题库(附答案和详细解析)(1205).docx
- 2025年城市更新咨询师考试题库(附答案和详细解析)(1204).docx
- 2025年房地产估价师考试题库(附答案和详细解析)(1208).docx
- 2025年注册农业工程师考试题库(附答案和详细解析)(1209).docx
- 2025年注册勘察设计工程师考试题库(附答案和详细解析)(1205).docx
- 2025年注册给排水工程师考试题库(附答案和详细解析)(1209).docx
- 2025年生物信息分析师考试题库(附答案和详细解析)(1201).docx
- 2025年短视频制作师考试题库(附答案和详细解析)(1203).docx
- Copula函数在金融尾部风险度量中的应用.docx
文档评论(0)