2025年SOC安全运营工程师考试题库（附答案和详细解析）（1202）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端病毒查杀

B.集中日志管理与关联分析

C.物理服务器巡检

D.员工安全意识培训

答案：B

解析：SIEM的核心是通过收集、存储、分析跨设备的日志数据，实现安全事件的集中监控与关联分析（如识别多阶段攻击）。A属于EDR（终端检测响应）功能，C属于运维范畴，D属于安全培训体系，均非SIEM核心。

ATTCK框架的主要作用是？

A.评估网络带宽性能

B.描述攻击者的战术、技术和流程

C.设计数据中心拓扑结构

D.计算加密算法复杂度

答案：B

解析：ATTCK（AdversarialTactics,Techniques,andCommonKnowledge）是MITRE发布的攻击者行为知识库，用于描述攻击者在不同阶段（如初始访问、横向移动）使用的战术（Tactics）和技术（Techniques）。A是网络监控工具功能，C是网络架构设计内容，D是密码学研究范畴，均错误。

以下哪种日志类型通常不包含用户认证信息？

A.防火墙日志

B.堡垒机日志

C.数据库慢查询日志

D.认证服务器（如AD）日志

答案：C

解析：数据库慢查询日志主要记录执行时间过长的SQL语句，用于性能优化，不包含认证信息。A记录网络访问控制策略执行情况（含源IP、认证结果），B记录运维人员登录操作（含账号、时间），D直接记录用户认证成功/失败事件，均包含认证信息。

安全事件分级的核心依据是？

A.事件发生的时间（如工作日/节假日）

B.事件对业务的影响程度（如系统中断时长、数据泄露量）

C.上报事件的员工职级

D.攻击者使用的工具是否常见

答案：B

解析：安全事件分级的标准是其对业务可用性、完整性、保密性的影响（如P1级为核心业务中断4小时，P4级为低风险漏洞）。A、C、D均为非关键因素（时间不影响本质危害，上报人职级与事件本身无关，工具常见性不直接决定影响）。

以下哪项属于“威胁情报”中的IOC（指标）？

A.某APT组织的攻击动机分析

B.恶意软件的MD5哈希值

C.行业整体安全风险趋势报告

D.安全产品的采购预算

答案：B

解析：IOC（IndicatorsofCompromise）是攻击活动的具体可检测特征，如恶意文件哈希、C2服务器IP/域名、异常注册表项等。A是威胁行为分析，C是趋势分析，D是预算管理，均非IOC。

应急响应中“隔离受感染主机”的主要目的是？

A.防止攻击者继续获取主机管理员权限

B.减少日志存储压力

C.避免主机硬件损坏

D.便于后续审计主机操作记录

答案：A

解析：隔离（如断开网络）可阻止攻击者通过受感染主机横向移动（如攻击内网其他设备）或窃取更多数据。B、C与隔离无关（日志存储由SIEM管理，硬件损坏多由物理因素导致），D是日志留存的目的，错误。

以下哪种攻击属于“横向移动”阶段？

A.通过钓鱼邮件发送恶意附件（初始访问）

B.利用漏洞获取目标服务器权限（权限提升）

C.从被控制的办公终端访问财务系统（横向移动）

D.擦除服务器日志（痕迹清除）

答案：C

解析：横向移动（LateralMovement）指攻击者在已控制一台设备后，尝试访问同一网络内其他设备（如从办公终端渗透至财务系统）。A是初始访问，B是权限提升，D是痕迹清除，均不属于横向移动。

安全基线检查的核心目标是？

A.验证设备配置是否符合最低安全要求

B.测试网络最大带宽容量

C.评估员工安全意识培训效果

D.统计企业资产数量

答案：A

解析：安全基线（SecurityBaseline）是设备/系统必须满足的最低安全配置（如禁用默认账户、启用防火墙），检查旨在确保所有资产符合基础安全标准。B是网络性能测试，C是培训评估，D是资产清点，均错误。

以下哪项不属于“零信任模型”的核心原则？

A.持续验证访问请求（NeverTrust,AlwaysVerify）

B.最小权限访问（LeastPrivilege）

C.基于网络位置信任（如内网设备自动可信）

D.动态风险评估（根据环境变化调整权限）

答案：C

解析：零信任模型的核心是“永不信任，始终验证”，拒绝基于网络位置的默认信任（如内网设备可能已被感染）。A、B、D均为零信任原则（持续验证、最小权限、动态评估），C是传统边界安全模型的特征。

漏洞生命周期中“修复验证”阶段的主要工作是？

A.确认漏洞是否存在（如通过渗透测试）

B.部署补丁或配置变更

C.验证修复后系统是否恢复正常且漏洞已消除

D.向管理层汇报漏洞风险等级

答案：C

解析：修复验证阶段需通过测试确认补丁已生效（如扫描工具