原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷(总分100分)
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端病毒查杀
B.集中日志管理与关联分析
C.网络流量镜像复制
D.物理服务器漏洞扫描
答案:B
解析:SIEM的核心是通过收集、存储、分析跨设备的日志数据,实现威胁事件的关联检测与可视化展示。A为杀毒软件功能,C是网络监控设备功能,D是漏洞扫描工具功能,均非SIEM核心。
在威胁检测中,“异常基线”通常基于以下哪类数据建立?
A.攻击者TTP(战术、技术、过程)特征
B.正常业务流量与操作的历史统计
C.最新漏洞CVE编号列表
D.安全设备默认告警规则
答案:B
解析:异常基线通过分析正常业务场景下的流量、用户操作等历史数据生成,用于识别偏离正常模式的行为。A是威胁情报内容,C是漏洞管理数据,D是预设规则,均非基线建立依据。
以下哪类日志对检测横向移动攻击最关键?
A.防火墙访问日志
B.终端Windows安全日志(如4624登录事件)
C.Web服务器访问日志
D.数据库慢查询日志
答案:B
解析:横向移动常通过合法凭证在内部主机间登录(如SMB、RDP),Windows安全日志中的登录事件(4624)可记录此类行为。A主要记录网络边界流量,C记录Web访问,D记录数据库性能,均非横向移动核心日志。
安全事件分级的核心依据是?
A.事件触发的设备数量
B.事件对业务可用性、数据完整性的影响程度
C.攻击者使用的工具类型
D.安全分析师的主观判断
答案:B
解析:事件分级需基于业务影响(如系统宕机时长、数据泄露量)、合规要求(如GDPR)等客观指标。A是事件规模,C是攻击手段,D缺乏标准,均非核心依据。
ATTCK框架中“初始访问(InitialAccess)”战术对应的典型技术是?
A.权限提升(PrivilegeEscalation)
B.钓鱼邮件(Phishing)
C.数据加密(DataEncryption)
D.服务渗透(ServiceExploitation)
答案:B
解析:初始访问指攻击者首次进入目标网络的手段,钓鱼邮件(T1566)是典型技术。A属于后续战术,C是数据保护措施,D是具体攻击方法但非初始阶段。
以下哪项不属于SOC日常运营中的“资产识别”内容?
A.统计全网IP地址分配情况
B.记录关键业务系统(如OA、支付系统)的位置
C.分析攻击者C2服务器IP
D.标记特权账户(如域管理员)的分布
答案:C
解析:资产识别聚焦于组织内部资产(设备、系统、账户),C2服务器是外部威胁基础设施,属于威胁情报分析范畴。A、B、D均为内部资产核心信息。
漏洞管理中“风险评级”的主要依据是?
A.漏洞发现时间的新旧
B.漏洞利用难度(CVSS评分)+资产暴露面
C.漏洞对应的CVE编号数量
D.安全厂商的修复建议
答案:B
解析:风险评级需结合漏洞本身的严重性(如CVSS分数)和资产的重要性/暴露程度(如公网IP资产的漏洞风险更高)。A、C、D均非核心评估维度。
在应急响应中,“遏制(Containment)”阶段的首要目标是?
A.恢复受影响业务系统
B.收集攻击证据用于溯源
C.阻止攻击进一步扩散
D.向管理层汇报事件进展
答案:C
解析:遏制阶段需通过隔离受感染主机、关闭漏洞端口等手段,防止攻击范围扩大。A是恢复阶段目标,B是取证阶段任务,D是沟通要求,均非首要目标。
流量分析中,“DNS隧道”的典型特征是?
A.大量ICMP请求(Ping)
B.短时间内高频率的DNS查询且负载异常
C.HTTPS流量占比突然升高
D.FTP端口(21)传输大文件
答案:B
解析:DNS隧道通过将数据封装在DNS查询报文中传输,表现为异常高频的DNS查询(如每5秒一次)且查询内容(如子域名)长度不规则。A是ICMP洪水特征,C是正常加密流量,D是文件传输场景。
安全策略文档的核心作用是?
A.记录过去一年的安全事件数量
B.明确组织内安全控制措施与责任边界
C.展示安全设备的采购清单
D.汇总员工安全培训的签到记录
答案:B
解析:安全策略定义了组织的安全目标、角色职责(如SOC团队与运维团队的分工)、技术控制要求(如最小权限原则),是安全运营的纲领性文件。A、C、D均为执行记录或清单,非策略核心。
二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)
以下哪些属于威胁情报的典型应用场景?()
A.调整防火墙访问控制策略(如封禁恶意IP)
B.优化入侵检测系统(IDS)的检测规则
C.生成季度安全态势报告
D.定位攻击源的物理位置(如国家/城市)
答案:
您可能关注的文档
- 2025年ESG分析师认证(CESGA)考试题库(附答案和详细解析)(1210).docx
- 2025年中药调剂师考试题库(附答案和详细解析)(1126).docx
- 2025年二级建造师考试题库(附答案和详细解析)(1210).docx
- 2025年建筑节能评估师考试题库(附答案和详细解析)(1124).docx
- 2025年护士执业资格考试考试题库(附答案和详细解析)(1114).docx
- 2025年注册农业工程师考试题库(附答案和详细解析)(1205).docx
- 2025年注册展览设计师考试题库(附答案和详细解析)(1129).docx
- 2025年注册环境影响评价工程师考试题库(附答案和详细解析)(1210).docx
- 2025年注册通信工程师考试题库(附答案和详细解析)(1210).docx
- 2025年注册验船师考试题库(附答案和详细解析)(1201).docx
文档评论(0)