原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM系统(安全信息与事件管理)的核心功能?
A.网络流量整形
B.日志集中采集与关联分析
C.终端硬件监控
D.物理服务器巡检
答案:B
解析:SIEM系统的核心功能是通过集中采集各类日志(如网络设备、主机、应用日志),并进行标准化、关联分析和威胁检测。A选项是流量管理设备功能;C选项属于终端管理系统(如EMM);D选项是物理运维内容,均非SIEM核心。
以下哪种攻击场景最可能触发IDS(入侵检测系统)的误报?
A.合法用户通过SSH远程登录内部服务器
B.攻击者利用SQL注入漏洞获取数据库权限
C.内部员工使用Wget下载公司内部文档
D.外部IP尝试连接内部开放的80端口(正常HTTP服务)
答案:C
解析:IDS基于特征或异常行为检测,内部员工使用Wget(常见下载工具)可能被误判为恶意文件下载(若规则未白名单)。A是正常远程管理;B是明确攻击;D是正常服务访问,均不易误报。
ATTCK框架中“横向移动”属于哪个阶段?
A.初始访问
B.持久化
C.权限提升
D.命令与控制
答案:无(注:正确答案应为“横向移动”属于“横向移动”阶段,原题选项设置需修正。实际ATTCK阶段包括:初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、渗出、影响。)
(注:此处为模拟可能命题错误,实际应调整选项。假设正确选项为“横向移动”独立阶段,若选项中无此选项,需修正题目。)
(注:因用户要求严格生成,此处调整为合理题目)
修正后题目:ATTCK框架中“权限提升”属于以下哪个阶段?
A.初始访问
B.执行
C.持久化
D.权限提升
答案:D
解析:ATTCK框架按攻击生命周期划分为14个阶段,“权限提升”是独立阶段,用于描述攻击者提升自身权限的行为(如提权漏洞利用)。其他选项均为不同阶段。
安全事件分级的核心依据是?
A.事件发生的时间(如工作日/节假日)
B.事件的影响范围和潜在损失
C.事件触发的设备类型(如防火墙/终端)
D.事件关联的日志数量
答案:B
解析:安全事件分级需基于影响范围(如是否影响核心业务)、潜在损失(如数据泄露量、业务中断时长)等风险评估结果。其他选项为次要因素。
以下哪种日志对勒索软件攻击溯源最关键?
A.防火墙NAT转换日志
B.终端进程创建日志
C.网络流量QoS日志
D.无线AP连接日志
答案:B
解析:勒索软件攻击通常伴随异常进程(如加密文件的RaaS工具),终端进程创建日志(如WindowsSysmon的ProcessCreate事件)可记录攻击者行为路径。其他日志关联性较低。
漏洞管理中“CVSS评分”主要评估的是?
A.漏洞的修复成本
B.漏洞的利用难度和潜在影响
C.漏洞的发现时间
D.漏洞的受影响设备数量
答案:B
解析:CVSS(通用漏洞评分系统)通过基础指标(攻击向量、复杂度、权限要求等)和影响指标(机密性、完整性、可用性)计算漏洞风险等级,反映利用难度和潜在危害。
以下哪项不属于APT(高级持续性威胁)的典型特征?
A.长期持续的监控目标
B.使用0day漏洞攻击
C.攻击目的为短期经济利益
D.结合社会工程学获取初始访问
答案:C
解析:APT的核心特征是有明确战略目标(如窃取敏感数据、破坏关键基础设施),而非短期经济利益(后者是普通勒索软件的特征)。其他选项均为APT典型手段。
安全运营中“威胁狩猎”的主要目的是?
A.自动化响应已知威胁
B.发现未被检测到的潜在威胁
C.生成合规审计报告
D.优化防火墙访问控制策略
答案:B
解析:威胁狩猎是主动、基于假设的检测过程,旨在发现传统防御体系(如IDS、antivirus)未识别的高级威胁(如潜伏的APT)。A是SOAR系统功能;C是合规管理;D是策略优化,均非威胁狩猎目标。
以下哪种场景属于“误报”?
A.IDS检测到SQL注入攻击,经核查确认存在漏洞且攻击者已成功执行
B.终端杀毒软件报“Trojan.Generic”,实际是合法软件的误判
C.防火墙阻断了外部IP对内部80端口的访问,该端口未开放服务
D.日志分析发现某员工高频访问财务系统,实际为月度报表需求
答案:B
解析:误报指安全工具错误标记正常行为为威胁。B中合法软件被误判为木马,属于误报;A是真实攻击;C是正确阻断;D是正常行为但需关注(可能需调整基线),均非误报。
安全运营中“事件闭环”的最后一步通常是?
A.事件检测与告警
B.事件分析与验证
C.事件响应与处置
D.事件复盘与改进
答案:D
解析:事件闭环流程为:检测→验证→响应→复盘(总结经验、优化
您可能关注的文档
- 2025年AI产品经理考试题库(附答案和详细解析)(1202).docx
- 2025年价格鉴证师考试题库(附答案和详细解析)(1229).docx
- 2025年企业合规师考试题库(附答案和详细解析)(1212).docx
- 2025年体育经纪人资格证考试题库(附答案和详细解析)(1226).docx
- 2025年信用管理师考试题库(附答案和详细解析)(1223).docx
- 2025年健康照护师考试题库(附答案和详细解析)(1214).docx
- 2025年数据建模工程师考试题库(附答案和详细解析)(1222).docx
- 2025年普通话水平测试考试题库(附答案和详细解析)(1212).docx
- 2025年注册交互设计师考试题库(附答案和详细解析)(1226).docx
- 2025年注册测量师考试题库(附答案和详细解析)(1229).docx
文档评论(0)