2025年SOC安全运营工程师考试题库（附答案和详细解析）（1213）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端病毒查杀

B.集中日志管理与关联分析

C.网络流量负载均衡

D.物理服务器硬件监控

答案：B

解析：SIEM的核心是通过收集、存储、分析多源日志（如网络、终端、应用日志），并通过关联规则发现潜在安全事件。A为EDR（端点检测与响应）功能，C为负载均衡设备功能，D为运维监控范畴，均非SIEM核心。

ATTCK框架中“Tactics”指的是？

A.具体攻击技术（如恶意软件执行）

B.攻击阶段（如初始访问、横向移动）

C.攻击者使用的工具（如CobaltStrike）

D.漏洞利用过程（如缓冲区溢出）

答案：B

解析：ATTCK框架采用“战术-技术-过程”（TTPs）结构，其中Tactics（战术）指攻击者的目标阶段（如初始访问、权限提升），Techniques（技术）是具体方法（如钓鱼邮件），Procedures（过程）是工具或步骤细节。A对应Techniques，C/D为具体实施手段。

安全事件分级的主要依据不包括？

A.受影响的资产价值

B.事件响应团队的人数

C.事件影响范围（如单终端/全网络）

D.事件严重程度（如数据泄露量）

答案：B

解析：安全事件分级需基于资产价值（如核心服务器）、影响范围（如局部/全局）、严重程度（如敏感数据泄露量），而响应团队人数属于资源配置，不影响事件本身的分级标准。

以下哪种日志通常不包含用户登录行为信息？

A.防火墙日志

B.堡垒机日志

C.操作系统安全日志（WindowsSecurityLog）

D.Web应用访问日志（ApacheAccessLog）

答案：A

解析：防火墙日志主要记录网络流量（源/目的IP、端口、协议），不直接记录用户登录行为；B记录远程登录操作，C记录本地/远程登录事件（如成功/失败登录），D记录Web用户访问行为（如登录页面请求）。

零信任架构（ZeroTrust）的核心原则是？

A.信任内部网络所有设备

B.持续验证访问请求的合法性

C.仅允许已知白名单IP访问

D.部署单层边界防火墙

答案：B

解析：零信任的核心是“永不信任，始终验证”，要求对所有访问请求（无论内外网）进行身份、设备状态、环境风险等多维度验证。A违背零信任“不信任内网”原则，C是传统边界防护，D为过时的单层防护模式。

以下哪种威胁属于APT（高级持续性威胁）？

A.随机扫描的勒索软件

B.针对某能源企业持续6个月的定向攻击

C.普通网页挂马攻击

D.利用已知漏洞的蠕虫病毒

答案：B

解析：APT的特征是定向目标（如关键行业）、长期持续性（数月至数年）、高级攻击技术（0day/定制工具）。A/C/D为机会性攻击，无明确长期目标。

漏洞管理流程的正确顺序是？

A.扫描→验证→修复→报告

B.修复→扫描→验证→报告

C.报告→扫描→验证→修复

D.验证→扫描→修复→报告

答案：A

解析：标准漏洞管理流程为：通过扫描工具发现漏洞（扫描）→人工确认漏洞真实性（验证）→部署补丁/配置加固（修复）→记录结果并反馈（报告）。

以下哪项不是网络流量分析（NTA）的典型应用场景？

A.检测横向移动（LateralMovement）

B.识别异常数据外发（DataExfiltration）

C.统计员工上网行为流量

D.发现加密流量中的恶意载荷

答案：C

解析：NTA专注于安全相关分析（如攻击行为、数据泄露），而统计员工上网流量属于流量监控（非安全场景）。A/B/D均为通过流量特征（如异常端口、通信频率）发现攻击的典型场景。

安全运营中心（SOC）的核心目标是？

A.替代运维团队管理服务器

B.实时阻断所有网络攻击

C.持续监控、检测、响应安全风险

D.定期更换网络设备硬件

答案：C

解析：SOC的核心是通过技术与人员协作，实现安全风险的全生命周期管理（监控→检测→响应→复盘）。A为运维职责，B无法“阻断所有”（如0day攻击），D为硬件维护范畴。

以下哪项是威胁情报（ThreatIntelligence）的关键价值？

A.替代安全设备的内置规则

B.提前知晓攻击者的TTPs（战术、技术、过程）

C.降低安全团队人员成本

D.完全预测未来所有攻击

答案：B

解析：威胁情报（如IOCs、TTPs）可帮助SOC提前了解攻击者手法，优化检测规则或防御策略。A错误（情报需与设备规则结合），C/D夸大其作用（无法降低人员成本或完全预测攻击）。

二、多项选择题（共10题，每题2分，共20分）

以下属于SOC日常监控的关键数据源的有？（）

A.网络设备日志（如交换机、防火墙）

B.终端E