1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1217).docxVIP

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1217).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端病毒查杀

    B.集中日志采集与关联分析

    C.网络流量整形

    D.漏洞扫描与修复

    答案:B

    解析:SIEM的核心功能是通过采集多源日志(如网络设备、服务器、应用系统),进行标准化、关联分析和实时监控,实现威胁检测与事件响应。A为EDR(端点检测与响应)功能,C为网络设备功能,D为漏洞管理系统功能。

    ATTCK框架中“初始访问(InitialAccess)”属于哪个阶段?

    A.持续阶段(Persistence)

    B.杀伤链前期阶段

    C.横向移动阶段(LateralMovement)

    D.数据外泄阶段(Exfiltration)

    答案:B

    解析:ATTCK框架将攻击生命周期分为14个阶段,“初始访问”是攻击者首次进入目标系统的阶段,属于杀伤链的前期(如钓鱼邮件、漏洞利用等)。A、C、D均为后续阶段。

    以下哪种日志通常不包含用户登录行为信息?

    A.系统安全日志(WindowsSecurityLog)

    B.Apache访问日志(AccessLog)

    C.堡垒机操作审计日志

    D.网络设备AAA日志(认证、授权、审计)

    答案:B

    解析:Apache访问日志主要记录HTTP请求信息(如IP、URL、状态码),不直接包含用户登录行为;A记录账户登录/注销事件,C记录运维人员登录及操作,D记录网络设备的认证过程。

    安全事件分级的核心依据是?

    A.事件发生的时间(如白天/夜间)

    B.事件影响的资产价值、业务中断时间及数据泄露量

    C.告警来源系统的优先级(如核心系统/边缘系统)

    D.运维人员的主观判断

    答案:B

    解析:安全事件分级需基于客观指标,如受影响资产的重要性(如生产数据库vs测试服务器)、业务中断时长(如超过4小时为重大)、敏感数据泄露量(如超过10万条用户信息)。A、C、D均为非核心因素。

    以下哪项属于“误报(FalsePositive)”场景?

    A.入侵检测系统(IDS)检测到已知恶意IP访问内部服务器

    B.日志分析工具因规则配置错误,将合法API调用标记为“异常横向移动”

    C.终端检测到勒索软件进程并触发隔离

    D.防火墙拦截来自黑名单的DDoS攻击流量

    答案:B

    解析:误报指系统将正常行为错误识别为威胁。B中合法API调用被错误标记,属于误报;A、C、D均为正确识别的真实威胁。

    网络流量分析(NTA)工具的主要作用是?

    A.阻断恶意流量

    B.深度解析流量内容,识别异常通信模式

    C.管理网络设备配置

    D.提供带宽监控报表

    答案:B

    解析:NTA通过流量镜像或探针采集数据,分析协议异常(如非标准端口的SMTP)、通信频率(如异常高频DNS查询)等,辅助威胁检测。A为防火墙功能,C为网管系统功能,D为流量监控工具基础功能。

    以下哪种攻击属于“凭证填充(CredentialStuffing)”?

    A.通过钓鱼邮件获取用户密码

    B.使用撞库工具尝试已知账号密码组合登录系统

    C.利用系统漏洞直接获取管理员权限

    D.诱导用户点击恶意链接下载木马

    答案:B

    解析:凭证填充是攻击者使用从其他网站泄露的账号密码(如“用户名:密码”组合)尝试登录目标系统,利用用户“多平台使用相同密码”的习惯。A为社会工程学,C为漏洞利用,D为钓鱼攻击。

    安全运营中“威胁情报”的主要作用是?

    A.替代人工分析,自动处理所有事件

    B.提供已知威胁的特征(如恶意IP、哈希值)及攻击手法,辅助快速识别威胁

    C.生成合规性报告

    D.监控员工上网行为

    答案:B

    解析:威胁情报(TI)通过整合IOC(指示物,如恶意IP)、TTP(战术、技术、流程)等信息,帮助SOC团队提前部署防御(如封禁IP)或加速事件验证(如匹配已知恶意哈希)。A夸大其作用,C为合规工具功能,D为上网行为管理系统功能。

    以下哪项是“零日漏洞(Zero-dayVulnerability)”的特点?

    A.已被公开且厂商已发布补丁

    B.攻击者首次利用且未被厂商修复

    C.仅影响特定版本的老旧系统

    D.可通过常规杀毒软件检测

    答案:B

    解析:零日漏洞指未被厂商知晓或未发布补丁的漏洞,攻击者可利用其发起未知攻击。A为“已修补漏洞”,C无必然关联(如Windows10也可能存在零日漏洞),D因无特征库无法检测。

    安全运营中“白名单”策略的主要适用场景是?

    A.对未知威胁的全面防御

    B.严格控制特定场景下的合法操作(如生产环境仅允许指定IP访问)

    C.替代入侵检测系统

    D.降低日志存储成本

    答案:B

    解析:白名单通过明确允许的对象(如IP、进程、用户)限制操作,适用于高安全要求场景(如金融核心系统)

    您可能关注的文档

    最近下载

    文档评论(0)

    MenG + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >