2025年SOC安全运营工程师考试题库（附答案和详细解析）（1215）.docxVIP

SOC安全运营工程师考试试卷（总分100分）

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端漏洞扫描

B.网络流量镜像

C.日志集中采集与关联分析

D.恶意代码沙箱检测

答案：C

解析：SIEM的核心是通过集中采集多源日志（如网络、主机、应用日志），并基于规则或机器学习进行事件关联分析，识别潜在威胁。A是漏洞扫描工具功能，B是网络监控设备功能，D是沙箱分析工具功能，均非SIEM核心。

ATTCK框架的主要作用是？

A.提供漏洞修复补丁

B.描述攻击者的战术、技术和过程（TTPs）

C.生成威胁情报报告

D.评估网络带宽使用情况

答案：B

解析：ATTCK（AdversarialTactics,Techniques,andCommonKnowledge）是MITRE发布的攻击行为知识库，用于描述攻击者在各阶段（如初始访问、横向移动）的具体技术和策略。A是补丁管理系统功能，C是威胁情报平台功能，D是流量分析工具功能，均错误。

以下哪种日志类型通常不包含用户登录认证信息？

A.系统日志（SystemLog）

B.安全日志（SecurityLog）

C.应用日志（ApplicationLog）

D.防火墙日志（FirewallLog）

答案：D

解析：防火墙日志主要记录网络流量的源/目的IP、端口、协议等，通常不包含用户认证细节；安全日志（如Windows的SecurityEventLog）、系统日志（如Linux的/var/log/auth.log）和应用日志（如Web服务器的auth.log）会记录登录成功/失败信息。

以下哪项不属于APT（高级持续性威胁）的典型特征？

A.攻击目标具有高价值（如政府、能源企业）

B.利用0day漏洞进行攻击

C.短期一次性攻击

D.长期潜伏并持续渗透

答案：C

解析：APT强调“持续性”，攻击者会长期（数月至数年）潜伏并逐步渗透，而非短期一次性攻击。A、B、D均为APT典型特征（高价值目标、0day利用、长期潜伏）。

在终端安全防护中，EDR（端点检测与响应）的核心能力是？

A.定期进行系统补丁更新

B.实时监控终端进程行为并阻断恶意操作

C.对终端文件进行加密存储

D.优化终端硬件性能

答案：B

解析：EDR通过在终端部署代理，监控进程、文件、网络等行为，结合威胁情报实时检测异常（如勒索软件文件加密行为），并支持主动响应（如隔离进程）。A是补丁管理功能，C是数据加密功能，D与安全无关。

以下哪种协议常用于安全设备（如防火墙、IDS）的日志传输？

A.SMTP（简单邮件传输协议）

B.Syslog（系统日志协议）

C.FTP（文件传输协议）

D.DHCP（动态主机配置协议）

答案：B

解析：Syslog（RFC5424）是专门用于设备日志传输的标准协议，支持UDP/TCP传输，广泛用于防火墙、路由器、IDS等设备的日志上报。A用于邮件发送，C用于文件传输，D用于IP地址分配。

安全运营中“误报率”的定义是？

A.检测到的真实攻击事件数量与总事件数的比值

B.检测到的非攻击事件（误报）数量与总事件数的比值

C.未检测到的真实攻击事件数量与总攻击事件数的比值

D.检测到的攻击事件中成功阻断的数量与总攻击事件数的比值

答案：B

解析：误报率=误报事件数/总检测事件数，反映检测系统的准确性；A是“真阳性率”，C是“漏报率”，D是“阻断成功率”。

以下哪项是威胁情报（ThreatIntelligence）的核心价值？

A.替代安全设备进行威胁检测

B.为安全运营提供上下文信息（如攻击者IP、恶意软件哈希）

C.自动修复系统漏洞

D.提升网络带宽利用率

答案：B

解析：威胁情报通过提供攻击者IOC（IndicatorofCompromise，如恶意IP、哈希值）、TTPs等上下文，帮助SOC团队快速识别已知威胁。A错误（情报需结合设备使用），C是漏洞管理功能，D与安全无关。

在应急响应中，“遏制（Containment）”阶段的主要目标是？

A.分析攻击路径并溯源攻击者

B.防止攻击范围扩大或数据进一步泄露

C.恢复受影响系统至正常状态

D.编写应急响应报告并总结经验

答案：B

解析：遏制阶段的核心是通过隔离受感染主机、关闭受影响服务等手段，阻止攻击扩散。A是“分析与溯源”阶段任务，C是“恢复”阶段任务，D是“总结”阶段任务。

以下哪种技术不属于UEBA（用户与实体行为分析）的常用方法？

A.基于规则的异常检测（如登录时间异常）

B.机器学习建模（如用户访问模式聚类）

C.静态代码分析（检查软件代码漏洞）

D.行为基线建立（如用户日