在线安全培训安全运营测试卷.docxVIP

在线安全培训安全运营测试卷

考试时间：______分钟总分：______分姓名：______

一、选择题

1.安全运营中心（SOC）的核心目标是？

A.进行安全产品销售

B.最大程度地减少安全事件对业务的影响

C.制定安全策略和标准

D.负责所有网络基础设施的建设和维护

2.以下哪个工具通常用于实时收集、关联和分析来自网络中各种来源的安全日志和事件？

A.SIEM(SecurityInformationandEventManagement)

B.SOAR(SecurityOrchestration,AutomationandResponse)

C.EDR(EndpointDetectionandResponse)

D.IDS/IPS(IntrusionDetection/PreventionSystem)

3.在安全运营中，事件响应（IncidentResponse）主要关注的是什么？

A.日常安全监控和威胁狩猎

B.在安全事件发生时，采取一系列行动来遏制、根除影响并恢复业务正常

C.收集和分析威胁情报

D.确保安全工具的正常运行

4.威胁情报的主要作用是？

A.直接执行安全事件的响应操作

B.提供关于潜在威胁、攻击者、目标和TacticsTechniquesandProcedures(TTPs)的信息，以指导防御和检测

C.自动化安全事件的处理流程

D.监控网络流量以发现恶意活动

5.以下哪项活动属于“威胁狩猎”（ThreatHunting）？

A.监控防火墙日志寻找已知的攻击模式

B.基于假设或分析，主动在环境中搜寻潜在的、未知的威胁或攻击迹象

C.收到告警后，按照预定义流程调查安全事件

D.定期更新安全设备的安全补丁

6.SOAR（SecurityOrchestration,AutomationandResponse）的主要优势之一是？

A.提供最全面的安全监控视图

B.自动化重复性安全任务和响应流程，提高效率和一致性

C.独立完成所有安全事件的根除工作

D.生成最详细的威胁情报报告

7.安全运营中使用的“Playbook”通常是指？

A.安全事件的调查报告

B.用于记录安全设备配置的文档

C.针对特定类型安全事件或场景的标准化响应流程和指南

D.威胁情报的汇总分析材料

8.以下哪个组织或平台通常会发布权威的威胁情报？

A.ISO(InternationalOrganizationforStandardization)

B.NIST(NationalInstituteofStandardsandTechnology)

C.MITREATTCK?Framework

D.Gartner

9.在处理安全事件时，哪个阶段通常最先进行？

A.恢复

B.调查与根除

C.准备（准备阶段通常在事件前）

D.事后总结

10.用于检测恶意软件在终端上行为，并可能进行阻止或隔离的技术/工具属于？

A.NDR(NetworkDetectionandResponse)

B.Honeypot

C.EDR(EndpointDetectionandResponse)

D.WebApplicationFirewall(WAF)

二、多选题

1.安全运营（SecOps）通常包含哪些核心职能？（选择所有适用项）

A.安全监控与告警分析

B.威胁情报收集与分析

C.安全事件响应与处理

D.安全工具的部署与配置

E.安全策略的制定与审计

2.SIEM（SecurityInformationandEventManagement）系统的主要输入来源通常包括哪些？（选择所有适用项）

A.防火墙日志

B.服务器操作系统日志

C.安全设备（如IDS/IPS）告警

D.应用程序日志

E.威胁情报源

3.安全事件响应流程的“准备”阶段主要涉及哪些工作？（选择所有适用项）

A.制定事件响应计划（Playbook）

B.建立事件响应团队和职责分工

C.准备必要的工具和脚本