原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端病毒查杀
B.集中日志管理与分析
C.网络流量镜像复制
D.硬件防火墙策略配置
答案:B
解析:SIEM的核心是通过收集、标准化、关联分析多源日志(如网络、主机、应用日志),实现安全事件的集中监控与告警。A属于EDR/杀毒软件功能,C是网络监控设备功能,D是防火墙管理功能,均非SIEM核心。
以下哪种威胁情报类型最适用于SOC日常运营中的实时告警过滤?
A.战略情报(如APT组织背景)
B.战术情报(如恶意IP/域名)
C.操作情报(如攻击工具行为特征)
D.决策情报(如行业安全趋势)
答案:B
解析:战术情报(如IOC指标)包含具体可观测的威胁标识(如IP、域名、哈希值),可直接用于SIEM规则或防火墙白名单/黑名单配置,实现实时告警过滤。A/D用于高层决策,C用于深度分析。
在日志分析中,“事件时间戳不一致”最可能反映以下哪种问题?
A.日志源时区配置错误
B.日志传输过程中丢失
C.日志存储容量不足
D.日志采集工具版本过旧
答案:A
解析:时间戳不一致通常由日志源(如服务器、网络设备)的时区设置未统一(如部分设备使用UTC,部分使用本地时间)导致。B会导致日志缺失,C会导致日志截断,D可能影响采集效率但不直接导致时间戳问题。
ATTCK框架中“横向移动”属于哪个阶段?
A.初始访问
B.执行
C.权限维持
D.横向移动
答案:D
解析:ATTCK矩阵将攻击生命周期分为14个阶段(如初始访问、执行、横向移动等),“横向移动”是独立阶段,指攻击者在已控制主机基础上渗透内网其他设备的过程。
安全事件响应流程中,“遏制阶段”的首要目标是?
A.收集证据用于溯源
B.防止事件影响扩大
C.修复系统漏洞
D.恢复业务系统
答案:B
解析:遏制阶段的核心是通过隔离受感染设备、关闭高危服务等手段,阻止攻击进一步扩散(如防止恶意软件传播至其他主机)。A属于后续分析阶段,C属于根除阶段,D属于恢复阶段。
根据CVSS评分标准,以下哪个漏洞属于“高危”(High)等级?
A.CVSSv3.1评分3.5
B.CVSSv3.1评分6.2
C.CVSSv3.1评分7.8
D.CVSSv3.1评分9.1
答案:C
解析:CVSSv3.1评分等级:0-3.9(低危)、4.0-6.9(中危)、7.0-8.9(高危)、9.0-10.0(关键)。C选项7.8属于高危,D属于关键。
SOC日常运营中,降低误报率的最有效措施是?
A.增加日志采集量
B.优化告警规则关联逻辑
C.提升分析师数量
D.部署更多安全设备
答案:B
解析:误报主要源于告警规则设计不合理(如阈值过宽松、未考虑正常业务行为),优化规则(如增加上下文关联、排除已知合法行为)可直接降低误报。A可能增加冗余日志,C/D无法解决规则逻辑问题。
以下哪种攻击类型最可能触发“异常文件上传”告警?
A.SQL注入
B.XSS跨站脚本
C.WebShell上传
D.DDoS攻击
答案:C
解析:WebShell通常通过文件上传漏洞植入,会触发文件上传目录的异常文件类型(如.php、.jsp)或大文件传输告警。A/B属于应用层注入攻击,D是流量攻击,均不直接涉及文件上传。
以下哪种访问控制模型最适用于“根据用户角色分配权限”的场景?
A.自主访问控制(DAC)
B.强制访问控制(MAC)
C.基于角色的访问控制(RBAC)
D.基于属性的访问控制(ABAC)
答案:C
解析:RBAC通过定义角色(如管理员、普通用户)并为角色分配权限,实现“按角色授权”,是企业权限管理的主流模型。DAC由资源所有者自主授权,MAC由系统强制分级,ABAC基于用户属性(如部门、位置)动态授权。
安全事件分类中,“数据泄露”属于以下哪类事件?
A.可用性事件
B.完整性事件
C.机密性事件
D.合规性事件
答案:C
解析:数据泄露涉及敏感信息(如用户隐私、商业秘密)的非授权披露,直接威胁数据机密性(CIA三元组中的Confidentiality)。可用性事件(如DDoS)影响系统可用,完整性事件(如数据篡改)影响数据准确,合规性事件(如违反GDPR)属于法律层面。
二、多项选择题(共10题,每题2分,共20分)
EDR(端点检测与响应)的核心功能包括?()
A.终端进程行为监控
B.恶意文件沙箱分析
C.漏洞扫描与修复
D.可疑进程隔离与清除
答案:AD
解析:EDR通过轻量级代理监控终端进程、文件、网络行为(A),发现异常后可主动隔离或清除威胁(D)。B属于威胁情报平台或独立沙箱功能,
您可能关注的文档
- 2025年云计算架构师考试题库(附答案和详细解析)(1224).docx
- 2025年思科认证网络工程师(CCNP)考试题库(附答案和详细解析)(1231).docx
- 2025年整理收纳师考试题库(附答案和详细解析)(1220).docx
- 2025年注册产品设计师考试题库(附答案和详细解析)(1228).docx
- 2025年注册土木工程师考试题库(附答案和详细解析)(1215).docx
- 2025年注册安全工程师考试题库(附答案和详细解析)(1226).docx
- 2025年注册气象工程师考试题库(附答案和详细解析)(1226).docx
- 2025年特种设备安全管理和作业人员考试题库(附答案和详细解析)(1223).docx
- 2025年行政执法资格考试题库(附答案和详细解析)(1229).docx
- C++中STL容器的应用场景选择.docx
文档评论(0)