原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端设备漏洞扫描
B.网络流量实时管控
C.集中日志采集与关联分析
D.恶意软件特征库更新
答案:C
解析:SIEM系统的核心是通过收集多源日志(如网络设备、主机、应用日志),进行标准化处理、关联分析和事件集中展示,实现威胁检测与合规审计。A为漏洞扫描工具功能,B为防火墙/IPS功能,D为杀毒软件特征库更新功能,均非SIEM核心。
在安全事件分级中,“导致关键业务中断超过4小时”通常属于哪一级事件?
A.一级(重大)
B.二级(较大)
C.三级(一般)
D.四级(较小)
答案:A
解析:根据《信息安全事件分类分级指南》,一级事件指对国家安全、社会秩序、公共利益或关键信息基础设施造成特别严重损害的事件,关键业务中断超4小时属于一级。B级通常为中断2-4小时,C级为1-2小时,D级为1小时内。
以下哪种日志最适合用于检测横向移动攻击?
A.防火墙访问日志
B.终端进程日志
C.邮件服务器日志
D.Web应用访问日志
答案:B
解析:横向移动攻击(如通过SMB协议或RDP远程登录)会在终端产生异常进程(如非授权的远程桌面连接、异常服务启动),终端进程日志可直接反映此类行为。A记录网络流量,C记录邮件交互,D记录Web请求,均不直接体现终端本地异常操作。
威胁情报中的TTPs指的是?
A.威胁类型、目标、路径
B.战术、技术、流程
C.工具、技术、平台
D.攻击时间、目标、payload
答案:B
解析:TTPs(Tactics,Techniques,Procedures)是威胁行为体的战术(攻击策略)、技术(具体攻击方法)和流程(操作步骤),用于描述攻击行为模式。其他选项均为对TTPs的错误拆解。
以下哪项不是EDR(端点检测与响应)的核心功能?
A.终端文件完整性监控
B.恶意进程内存分析
C.网络流量深度包检测
D.可疑行为溯源取证
答案:C
解析:EDR聚焦终端侧安全,包括进程监控、文件操作审计、内存扫描等;网络流量深度检测属于NIDS(网络入侵检测系统)或IPS功能。C为网络侧功能,非EDR核心。
在SOC日常运营中,“误报率”主要用于评估以下哪项工作的效率?
A.日志存储容量
B.威胁检测规则
C.应急响应速度
D.漏洞修复周期
答案:B
解析:误报率指检测系统将正常行为误判为攻击的比例,直接反映威胁检测规则(如SIEM规则、EDR策略)的准确性。A与存储配置相关,C与响应流程相关,D与漏洞管理流程相关,均不直接关联误报率。
以下哪种攻击属于APT(高级持续性威胁)的典型特征?
A.利用已知漏洞的勒索软件
B.针对个人用户的钓鱼邮件
C.长期潜伏并定向渗透关键系统
D.大规模DDoS攻击公共网站
答案:C
解析:APT的核心是“高级”(使用0day/定制化工具)、“持续性”(长期潜伏)、“威胁”(针对特定目标)。A为机会型攻击,B为广撒网式攻击,D为破坏型攻击,均不符合APT特征。
根据等保2.0要求,三级信息系统的日志留存时间至少为?
A.30天
B.6个月
C.1年
D.2年
答案:B
解析:《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)规定,第三级系统日志留存时间应≥6个月,第四级≥1年。
以下哪项是“杀链模型(KillChain)”中的关键阶段?
A.漏洞扫描
B.命令与控制(C2)
C.补丁管理
D.数据加密
答案:B
解析:杀链模型包括侦察、武器化、投递、利用、安装、C2通信、行动与目标达成7个阶段。C2(命令与控制)是攻击者控制被感染设备的核心阶段。A为防御方行为,C为防御措施,D为防护手段,均非攻击链阶段。
在安全事件处置中,“遏制阶段”的首要目标是?
A.恢复受影响业务
B.防止攻击范围扩大
C.分析攻击路径
D.溯源攻击者身份
答案:B
解析:遏制阶段的核心是通过隔离受感染设备、关闭暴露端口等手段,阻止攻击进一步扩散(如横向移动、数据泄露)。A属于恢复阶段,C属于分析阶段,D属于溯源阶段。
二、多项选择题(共10题,每题2分,共20分)
以下属于SOC需要监控的关键数据源有?()
A.防火墙流量日志
B.数据库操作日志
C.员工考勤系统日志
D.终端EDR事件日志
答案:ABD
解析:SOC需监控与安全相关的数据源,包括网络设备(防火墙)、关键系统(数据库)、终端(EDR)的日志;员工考勤日志与安全无关,无需重点监控。
勒索软件攻击的典型特征包括?()
A.加密用户文件并索要赎金
B.通过钓鱼邮件或漏洞入侵
C.长期潜伏窃取敏感数据
您可能关注的文档
- 2025年康养管理师考试题库(附答案和详细解析)(1130).docx
- 2025年房地产经纪人职业资格考试题库(附答案和详细解析)(1219).docx
- 2025年智能交通系统工程师考试题库(附答案和详细解析)(1119).docx
- 2025年注册城市规划师考试题库(附答案和详细解析)(1216).docx
- 2025年注册核工程师考试题库(附答案和详细解析)(1219).docx
- 2025年注册矿业工程师考试题库(附答案和详细解析)(1216).docx
- 2025年碳排放管理师考试题库(附答案和详细解析)(1212).docx
- 5G基站建设对区域数字经济的拉动效应.docx
- 个税专项扣除请避开这些填报易错点.docx
- 乙肝病毒携带者的就业歧视问题.docx
文档评论(0)