2025年SOC安全运营工程师考试题库（附答案和详细解析）（1221）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

SIEM（安全信息与事件管理）系统的核心功能是：

A.漏洞扫描与修复

B.日志集中管理与关联分析

C.网络流量清洗与DDoS防护

D.终端病毒实时查杀

答案：B

解析：SIEM的核心是通过收集、存储、分析跨设备的日志数据，实现事件关联与威胁检测（如不同设备日志中的异常IP联动）。A为漏洞管理工具功能，C为WAF/DDos防护设备功能，D为终端安全软件（如EDR）功能。

MITREATTCK框架的主要用途是：

A.评估网络带宽性能

B.标准化攻击战术与技术描述

C.计算系统可靠性指标

D.设计数据加密算法

答案：B

解析：ATTCK（AdversarialTactics,Techniques,andCommonKnowledge）是全球广泛采用的攻击行为知识库，用于描述攻击者的战术（如初始访问）和技术（如钓鱼邮件）。其他选项与框架定位无关。

以下哪项属于I级（重大）安全事件？

A.单个终端感染已知病毒

B.核心业务系统中断超过4小时

C.员工账号密码泄露但未被利用

D.外部IP尝试暴力破解失败10次

答案：B

解析：根据《信息安全事件分类分级指南》，核心业务系统中断超过4小时属于I级（重大）事件。A为IV级（一般），C/D为未达到事件标准的异常行为。

以下日志类型中，最常用于检测横向移动攻击的是：

A.防火墙访问日志

B.终端系统日志（如Windows事件日志）

C.数据库慢查询日志

D.邮件服务器收发日志

答案：B

解析：横向移动（如通过SMB协议跨终端传播）通常会在终端系统日志中留下异常进程（如wmimgmt.exe远程调用）或权限变更记录。防火墙日志主要记录网络流量，数据库日志关注数据操作，邮件日志用于检测钓鱼攻击。

网络入侵检测系统（NIDS）的典型部署方式是：

A.串联在核心交换机与路由器之间

B.镜像（SPAN）端口流量旁路监听

C.安装于终端操作系统内核

D.部署在云服务器实例内部

答案：B

解析：NIDS通过监听网络镜像流量（如交换机SPAN端口）分析攻击特征，避免影响网络性能。串联部署（A）是防火墙的常用方式，C/D为HIDS（主机入侵检测）或EDR的部署方式。

以下哪类威胁情报对实时阻断攻击最直接有效？

A.TTP（战术、技术、流程）情报

B.IOC（指示物）情报（如恶意IP、哈希值）

C.威胁源背景情报（如APT组织关联信息）

D.漏洞情报（如CVE编号与细节）

答案：B

解析：IOC（IndicatorsofCompromise）可直接用于安全设备（如防火墙、IDS）的阻断规则（如封禁恶意IP）。TTP用于分析攻击模式，威胁源背景用于溯源，漏洞情报用于修复补丁。

钓鱼攻击的典型特征不包括：

A.邮件正文包含紧急操作链接（如“点击更新账户”）

B.发件人域名与官方域名高度相似（如“”）

C.附件为可执行文件（.exe）或宏文档（.docm）

D.邮件内容为公司内部通知且无附件

答案：D

解析：钓鱼攻击通常通过诱导点击链接/附件实施，纯文本内部通知（无诱导操作）不符合典型特征。A（社会工程诱导）、B（域名仿冒）、C（恶意载荷）均为常见钓鱼特征。

终端检测与响应（EDR）的核心能力是：

A.定期扫描终端漏洞

B.实时监控终端进程与文件行为并留存证据

C.优化终端系统运行速度

D.管理终端软件安装许可

答案：B

解析：EDR通过内核级监控（如进程创建、文件写入）记录终端行为全生命周期（如恶意进程启动→文件下载→横向移动），支持事后溯源与响应。A为漏洞扫描工具功能，C/D与安全无关。

以下哪项不属于网络安全等级保护（等保2.0）的基本要求？

A.制定安全管理制度

B.部署入侵防范设备

C.定期进行漏洞扫描与修复

D.限制员工访问互联网

答案：D

解析：等保2.0要求“安全通信网络”“安全区域边界”等技术措施（如B）、“安全管理制度”等管理要求（如A）、“安全监测”等运营要求（如C），但不强制限制互联网访问（需根据业务需求合理控制）。

安全事件应急响应中，首要操作是：

A.通知管理层

B.隔离受影响设备

C.备份日志与证据

D.恢复业务系统

答案：C

解析：应急响应需遵循“先取证后处置”原则，避免因操作（如重启设备）导致日志丢失。隔离（B）和恢复（D）需在取证后进行，通知（A）属于流程但非首要。

二、多项选择题（共10题，每题2分，共20分）

SIEM系统通常包含以下哪些模块？（）

A.日志采集与标准化

B.威胁情报集成

C.漏洞扫描引擎

D.可视化仪表盘

答案：ABD

解析：SIEM核心模块包括日志采集（如通过Agent或Syslog