2025年SOC安全运营工程师考试题库（附答案和详细解析）（1229）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端漏洞扫描

B.集中日志采集与关联分析

C.DDoS流量清洗

D.终端防病毒防护

答案：B

解析：SIEM的核心是通过收集、存储、分析日志数据，实现事件关联与威胁检测（如异常行为识别）。A为漏洞扫描工具功能（如Nessus），C为DDoS防护设备功能（如AWSShield），D为终端安全软件功能（如卡巴斯基），均非SIEM核心。

在ATTCK框架中，“横向移动”属于以下哪个战术层？

A.初始访问

B.持久化

C.命令与控制

D.横向移动

答案：D

解析：ATTCK框架将攻击战术分为14个层级，“横向移动”（LateralMovement）是独立战术层，指攻击者在目标网络内扩散的行为（如通过远程桌面、横向渗透工具）。其他选项为不同战术层（初始访问是进入网络，持久化是维持权限，命令与控制是与C2服务器通信）。

以下哪种日志类型最常用于检测内网横向移动攻击？

A.防火墙访问日志

B.Windows安全日志（SecurityEventLog）

C.Web服务器访问日志

D.数据库慢查询日志

答案：B

解析：Windows安全日志记录了登录事件（如4624成功登录、4625失败登录）、权限变更（如4672特权分配）等，是检测横向移动（如通过SMB、RDP跨主机访问）的关键数据源。A主要记录网络流量边界，C记录Web请求，D记录数据库性能，均不直接反映主机间权限操作。

钓鱼邮件检测中，最关键的分析维度是？

A.发件人邮箱后缀是否为企业域名

B.邮件正文中是否包含“点击链接”话术

C.附件文件哈希是否在已知恶意样本库中

D.链接指向的域名注册信息与声称主体是否一致

答案：D

解析：钓鱼邮件常通过仿冒域名（如“”）诱导用户点击，验证域名注册信息（WHOIS查询）与声称主体（如“Google”）的一致性是核心检测点。A可能被伪造（如“@”仿冒“@”），B为常见但非唯一特征（正常通知也可能包含），C仅能检测已知恶意文件（0day攻击无法覆盖）。

以下哪项不属于SOC（安全运营中心）的日常运营指标？

A.MTTR（平均修复时间）

B.威胁情报更新频率

C.员工安全培训参与率

D.服务器CPU使用率

答案：D

解析：SOC运营指标聚焦安全能力（如MTTR反映事件响应效率）、情报能力（威胁情报更新频率）、人员能力（培训参与率）。服务器CPU使用率属于IT运维指标，与安全运营无直接关联。

在应急响应中，“遏制阶段”的首要目标是？

A.恢复受影响系统至正常状态

B.防止攻击范围扩大

C.收集证据用于溯源

D.分析攻击路径与工具

答案：B

解析：应急响应分为准备、检测与分析、遏制、根除、恢复、后行动6阶段。遏制阶段的核心是阻止攻击扩散（如隔离受感染主机、关闭暴露端口），为后续根除争取时间。A是恢复阶段目标，C是检测与分析阶段任务，D是后行动阶段的总结内容。

以下哪种漏洞属于“高危漏洞”？

A.某内部系统登录页面存在SQL注入（可获取普通用户数据）

B.某办公OA系统存在XSS漏洞（仅能弹出警告框）

C.某工业控制系统（ICS）存在默认弱口令（可远程登录）

D.某网站图片上传功能未限制文件类型（可上传PNG文件）

答案：C

解析：工业控制系统（ICS）直接关联生产安全，默认弱口令（如“admin/admin”）可能导致攻击者远程控制设备（如修改生产线参数），符合CVSS评分≥7.0的高危标准。A为中危（影响范围有限），B为低危（无数据窃取风险），D为无实际危害（仅允许上传PNG）。

零信任架构（ZeroTrust）的核心原则是？

A.所有访问默认信任，仅对高风险请求验证

B.网络边界内的设备自动获得完全权限

C.“持续验证”访问请求的身份、设备、环境安全性

D.仅允许已知IP地址访问关键系统

答案：C

解析：零信任的核心是“永不信任，始终验证”，要求对每次访问请求（无论内外网）验证身份（如多因素认证）、设备健康状态（如未感染病毒）、访问环境（如异常地理位置）。A违背“永不信任”原则，B是传统边界安全的误区，D仅为静态IP限制（无法应对IP伪造或内部渗透）。

以下哪项是威胁情报（ThreatIntelligence）的“战术级”应用场景？

A.制定年度安全预算

B.调整防火墙规则阻断已知C2服务器IP

C.评估某行业面临的APT组织威胁趋势

D.培训员工识别新型钓鱼手法

答案：B

解析：战术级情报用于短期防御操作（如基于已知C2IP封禁）；战略级用于长期决策（如A、C）；操作级用于具体执行（如D）。

恶意软件分析中，“沙箱（Sandbox