1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0105).docxVIP

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0105).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端恶意软件防护

    B.集中日志采集与关联分析

    C.网络流量清洗与DDoS防护

    D.漏洞扫描与修复建议

    答案:B

    解析:SIEM的核心是通过收集多源日志(如网络设备、终端、应用系统),进行标准化、关联分析和实时告警,实现安全事件的集中监控。A属于EDR/杀毒软件功能,C属于WAF/抗DDoS设备功能,D属于漏洞管理系统功能。

    在ATTCK框架中,“横向移动(LateralMovement)”属于哪个层级?

    A.战术(Tactics)

    B.技术(Techniques)

    C.过程(Procedures)

    D.数据源(DataSources)

    答案:A

    解析:ATTCK框架分为“战术(Tactics)”和“技术/过程(TechniquesProcedures)”两层。战术是攻击者的目标阶段(如初始访问、横向移动),技术是具体实现方法(如利用SMB协议传播)。

    以下哪种日志类型最常用于检测内网横向移动攻击?

    A.防火墙访问日志

    B.终端进程创建日志

    C.Web应用访问日志

    D.邮件网关垃圾邮件日志

    答案:B

    解析:横向移动通常涉及终端间的非法进程通信(如使用PsExec、WMI),终端进程创建日志(如Windows的Sysmon日志)可记录异常进程行为。A主要记录网络流量边界,C记录Web交互,D记录邮件安全事件,均非横向移动核心数据源。

    安全事件响应中,“遏制(Containment)”阶段的首要目标是?

    A.彻底清除攻击痕迹

    B.防止事件影响扩大

    C.收集证据用于溯源

    D.恢复业务系统运行

    答案:B

    解析:遏制阶段通过隔离受感染设备、限制网络访问等手段,阻止攻击进一步扩散,为后续消除和恢复争取时间。A属于“消除(Eradication)”阶段,C是“检测与分析”阶段的任务,D是“恢复(Recovery)”阶段目标。

    以下哪项不属于SOAR(安全编排与自动化响应)工具的典型功能?

    A.自动化执行简单响应操作(如封禁IP)

    B.整合多系统API实现流程联动

    C.替代安全分析师进行威胁分析

    D.生成响应过程的审计日志

    答案:C

    解析:SOAR的核心是通过自动化剧本提升响应效率,但威胁分析仍需人工决策。A、B、D均为SOAR的标准功能(如自动封禁IP、联动SIEM与防火墙、记录操作日志)。

    检测“暴力破解”攻击的关键指标是?

    A.单一IP短时间内大量异常登录失败

    B.服务器CPU利用率突然升高

    C.网络流量中出现大量ICMP包

    D.数据库查询次数显著增加

    答案:A

    解析:暴力破解的特征是同一IP在短时间内多次尝试登录(如SSH、RDP)失败,超出正常阈值。B可能是DDoS或恶意程序消耗资源,C可能是ICMP洪水攻击,D可能是业务高峰或SQL注入。

    以下哪种威胁情报类型对SOC日常监控最具实时性指导价值?

    A.战略情报(如APT组织背景)

    B.战术情报(如新型恶意软件哈希值)

    C.操作情报(如攻击IP/C2服务器)

    D.法律情报(如数据保护法规)

    答案:C

    解析:操作情报直接提供可立即用于监控的指标(如恶意IP、域名),可通过SIEM规则或防火墙策略快速拦截。战略情报用于长期防御规划,战术情报用于恶意软件检测,法律情报用于合规建设。

    安全域划分的核心原则是?

    A.按部门职能划分(如研发部、财务部)

    B.按资产重要性和风险等级隔离

    C.按网络带宽大小分配

    D.按员工权限高低划分

    答案:B

    解析:安全域划分需基于资产价值(如核心数据库、办公终端)和风险差异(如DMZ区与内网),通过防火墙策略限制跨域访问,降低横向攻击风险。其他选项未体现安全风险隔离的本质。

    以下哪项是EDR(端点检测与响应)的核心优势?

    A.无需在终端部署代理

    B.重点监控网络层流量

    C.支持终端行为的深度溯源

    D.提供全局网络拓扑视图

    答案:C

    解析:EDR通过终端代理采集进程、文件、注册表等细粒度日志,可追溯恶意软件执行路径(如文件写入→进程启动→网络连接)。A错误(EDR需部署代理),B是NTA(网络流量分析)功能,D是SIEM或网络监控工具功能。

    某企业SOC发现某终端频繁向境外IP发送HTTPS流量,最可能的威胁是?

    A.终端感染勒索软件

    B.恶意软件与C2服务器通信

    C.员工访问境外购物网站

    D.服务器遭受DDoS攻击

    答案:B

    解析:恶意软件(如木马)通常通过加密(HTTPS)流量与控制服务器(C2)通信,汇报状态或接收指令。A的典型特征是文件加密或勒索信息弹出,C是正常行为(需结合白名单判断),D表现为目标服务器流量激增。

    二、多项选择题(

    您可能关注的文档

    最近下载

    文档评论(0)

    杜家小钰 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >