1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0104).docxVIP

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0104).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.漏洞扫描与修复

    B.集中日志采集、存储与关联分析

    C.终端设备硬件监控

    D.网络带宽负载均衡

    答案:B

    解析:SIEM的核心是通过收集多源日志(如网络设备、主机、应用系统),进行标准化存储和关联分析,实现威胁检测与事件响应。A为漏洞管理工具功能(如Nessus),C为IT运维监控(如Zabbix),D为网络设备功能(如F5负载均衡器),均非SIEM核心。

    ATTCK框架中“TA”指的是?

    A.威胁行为体(ThreatActor)

    B.战术(Tactics)

    C.技术(Techniques)

    D.攻击工具(Tools)

    答案:B

    解析:ATTCK框架分为“战术(Tactics)”“技术(Techniques)”“过程(Procedures)”三层,其中“TA”是“Tactics”的缩写,代表攻击者达成目标的阶段性策略(如“初始访问”“横向移动”)。其他选项中,A是威胁源,C是具体攻击方法,D是工具类型,均非框架层级术语。

    以下哪种日志最可能包含用户登录失败的详细信息?

    A.网络设备流量日志(NetFlow)

    B.主机安全日志(WindowsSecurityLog)

    C.应用程序访问日志(ApacheAccessLog)

    D.数据库慢查询日志(MySQLSlowQueryLog)

    答案:B

    解析:主机安全日志(如Windows的SecurityLog)记录认证事件(登录成功/失败)、权限变更等安全相关操作。A记录网络流量统计(如源IP、端口),C记录HTTP请求(如URL、响应码),D记录执行时间过长的SQL语句,均不直接包含登录失败详情。

    某攻击事件中,攻击者通过钓鱼邮件诱导用户点击恶意链接,该攻击阶段属于ATTCK的哪个战术?

    A.持久化(Persistence)

    B.初始访问(InitialAccess)

    C.横向移动(LateralMovement)

    D.数据渗出(Exfiltration)

    答案:B

    解析:初始访问(InitialAccess)是攻击者首次进入目标环境的阶段,钓鱼邮件是典型手段。A是维持长期控制(如安装后门),C是扩大控制范围(如利用SMB横向渗透),D是窃取数据并外传,均不符合题干场景。

    以下哪项不属于网络入侵检测系统(NIDS)的检测方式?

    A.特征匹配(Signature-based)

    B.异常检测(Anomaly-based)

    C.协议解码(ProtocolDecoding)

    D.漏洞利用模拟(VulnerabilityExploitationSimulation)

    答案:D

    解析:NIDS通过分析网络流量实现检测,主要方式包括特征匹配(基于已知攻击特征库)、异常检测(基于基线的流量异常)、协议解码(解析应用层协议如HTTP)。D是渗透测试工具(如Metasploit)的功能,用于验证漏洞可利用性,非NIDS检测方式。

    在安全事件响应中,“遏制(Containment)”阶段的首要目标是?

    A.恢复受影响系统至正常状态

    B.防止事件进一步扩散

    C.收集证据用于后续分析

    D.通知管理层及客户

    答案:B

    解析:遏制阶段的核心是阻止攻击蔓延(如隔离受感染主机、关闭受影响服务),避免损失扩大。A是恢复阶段目标,C是取证阶段任务,D是沟通阶段内容,均非遏制阶段首要目标。

    以下哪种攻击属于“横向移动(LateralMovement)”?

    A.通过钓鱼邮件获取普通用户权限

    B.利用MS17-010漏洞从服务器A渗透至服务器B

    C.加密主机文件索要赎金

    D.通过DNS隧道外传敏感数据

    答案:B

    解析:横向移动指攻击者在已控制设备基础上,利用漏洞或凭证窃取攻击同一网络内其他设备。A是初始访问,C是勒索软件(属于影响阶段),D是数据渗出,均不符合横向移动定义。

    安全运营中“白名单”策略主要用于防御?

    A.未知漏洞攻击

    B.已知特征的恶意软件

    C.合法用户的误操作

    D.DDoS流量攻击

    答案:A

    解析:白名单策略仅允许信任的程序/IP运行,可防御未知威胁(如未被特征库覆盖的新型恶意软件)。B依赖特征库(黑名单策略),C需行为审计,D需流量清洗设备,均非白名单核心场景。

    以下哪项是威胁情报(ThreatIntelligence)的核心价值?

    A.替代安全设备实现自动防御

    B.提前识别潜在攻击模式

    C.完全消除系统漏洞

    D.降低安全运维人员工作量

    答案:B

    解析:威胁情报(如IOC指标、攻击手法)可帮助SOC团队提前部署防御(如封禁恶意IP、阻断特定行为),识别潜在攻击。A错误(需

    您可能关注的文档

    最近下载

    文档评论(0)

    182****1636 + 关注
    实名认证
    文档贡献者

    教师资格证持证人

    该用户很懒,什么也没介绍

    咨询Ta 进入空间
    领域认证该用户于2025年12月12日上传了教师资格证

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >