原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端设备漏洞扫描
B.网络流量加密传输
C.多源日志的集中采集与关联分析
D.恶意软件的实时查杀
答案:C
解析:SIEM的核心功能是通过集中采集各类日志(如网络、主机、应用日志),并基于规则或AI进行关联分析,发现潜在安全事件。A属于漏洞扫描工具功能,B是VPN或加密协议功能,D是杀毒软件(AV)或EDR功能,均非SIEM核心。
在威胁狩猎中,“TTPs”指的是?
A.目标、工具、路径
B.战术、技术、过程
C.流量、终端、平台
D.攻击、防御、响应
答案:B
解析:TTPs(Tactics,Techniques,Procedures)是ATTCK框架中的核心概念,指攻击者的战术(如初始访问)、技术(如钓鱼邮件)和过程(如横向移动的具体步骤)。其他选项均为干扰项,不符合行业标准定义。
以下哪种日志类型通常不包含用户身份信息?
A.防火墙访问日志
B.数据库操作日志
C.网络设备syslog
D.应用系统审计日志
答案:C
解析:网络设备syslog主要记录设备状态、接口信息等,通常不包含具体用户身份;而防火墙日志(记录源IP对应的用户)、数据库日志(记录操作用户)、应用审计日志(记录用户行为)均包含用户身份信息。
应急响应流程中,“遏制阶段”的核心目标是?
A.恢复受影响系统到正常状态
B.防止攻击范围扩大
C.分析攻击路径与工具
D.生成事件报告
答案:B
解析:遏制阶段的核心是通过隔离受感染主机、关闭漏洞端口等手段,阻止攻击进一步扩散。A是恢复阶段目标,C是分析阶段目标,D是总结阶段目标。
以下哪个指标最能反映SOC团队的事件响应效率?
A.日志存储容量
B.MTTR(平均修复时间)
C.威胁情报更新频率
D.漏洞扫描覆盖率
答案:B
解析:MTTR(MeanTimetoRepair)是衡量从事件发现到彻底解决的时间,直接反映响应效率;其他指标分别关联存储能力、情报时效性和漏洞管理覆盖,不直接体现响应效率。
关于EDR(端点检测与响应),以下描述正确的是?
A.主要用于网络流量监控
B.依赖特征库检测已知威胁
C.支持对恶意进程的主动隔离
D.仅部署于服务器端
答案:C
解析:EDR通过端点代理采集进程、文件等行为数据,可主动隔离恶意进程(如终止恶意线程);A是NTA(网络流量分析)功能,B是传统AV的局限,D错误(EDR可部署于PC、服务器等所有端点)。
在日志分析中,“异常检测”的关键是?
A.记录所有日志细节
B.定义基线(NormalBaseline)
C.实时转发日志到云端
D.定期清理旧日志
答案:B
解析:异常检测需先建立正常行为基线(如用户登录时间、设备访问频率),再通过对比发现偏离基线的行为;A是日志采集要求,C是日志存储方式,D是日志管理策略,均非异常检测关键。
以下哪类攻击通常不会被入侵检测系统(IDS)直接识别?
A.SQL注入
B.零日漏洞利用
C.DDoS攻击
D.暴力破解登录
答案:B
解析:IDS依赖已知攻击特征或行为模式检测,零日漏洞(未公开漏洞)无已知特征,难以直接识别;其他选项均有明确特征(如SQL注入的特殊字符、DDoS的流量异常、暴力破解的高频登录)。
SOC团队进行“威胁情报落地”时,最关键的动作是?
A.收集开源情报(OSINT)
B.将情报转化为检测规则或指标(IOC)
C.与同行共享情报
D.定期更新情报数据库
答案:B
解析:威胁情报的价值在于指导防御,需将情报中的IOC(如恶意IP、哈希值)或TTPs转化为SIEM规则、防火墙黑名单等具体防御措施;其他选项是情报生命周期的环节,但非“落地”关键。
以下哪项不属于SOC合规性要求的常见标准?
A.ISO27001
B.GDPR
C.PCIDSS
D.ITIL
答案:D
解析:ITIL是IT服务管理框架,侧重流程优化;ISO27001(信息安全管理体系)、GDPR(欧盟数据保护)、PCIDSS(支付卡行业数据安全)均为SOC需遵循的合规标准。
二、多项选择题(共10题,每题2分,共20分)
以下属于SOC日常监控的关键数据源的有?()
A.防火墙日志
B.终端EDR日志
C.员工考勤系统数据
D.数据库慢查询日志
答案:ABD
解析:SOC监控需覆盖网络(防火墙)、端点(EDR)、应用(数据库)等安全相关数据源;考勤系统数据与安全事件无直接关联,非关键数据源。
威胁狩猎的常用方法包括?()
A.基于ATTCK框架的假设验证
B.依赖SIEM的自动告警
C.分析异常的用户
您可能关注的文档
- 2025年3D打印工程师考试题库(附答案和详细解析)(1226).docx
- 2025年医药研发注册师考试题库(附答案和详细解析)(1217).docx
- 2025年国际注册信托与财富管理师(CTEP)考试题库(附答案和详细解析)(1212).docx
- 2025年国际金融市场从业资格(ICMA)考试题库(附答案和详细解析)(1223).docx
- 2025年导游资格考试考试题库(附答案和详细解析)(1231).docx
- 2025年应急救援指挥师考试题库(附答案和详细解析)(1227).docx
- 2025年康养管理师考试题库(附答案和详细解析)(1216).docx
- 2025年注册信息系统安全专家(CISSP)考试题库(附答案和详细解析)(1229).docx
- 2025年网络工程师考试题库(附答案和详细解析)(1228).docx
- 2025年高级数据分析师考试题库(附答案和详细解析)(1225).docx
文档评论(0)