1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1207).docxVIP

  • 0
  • 0
  • 约7.91千字
  • 约 11页
  • 2026-02-05 发布于上海
  • 举报

2025年SOC安全运营工程师考试题库(附答案和详细解析)(1207).docx

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端病毒查杀

    B.日志集中管理与关联分析

    C.网络漏洞扫描

    D.物理安全监控

    答案:B

    解析:SIEM的核心是通过收集、标准化、存储日志,并进行关联分析以发现异常事件(如攻击行为)。A为杀毒软件功能,C为漏洞扫描工具功能,D为安防系统功能,均非SIEM核心。

    钓鱼攻击的主要特征是?

    A.对目标系统进行暴力破解

    B.仿冒可信来源诱导用户点击恶意链接

    C.通过大量流量导致服务中断

    D.加密用户数据并勒索赎金

    答案:B

    解析:钓鱼攻击的核心是社会工程学欺骗,通过伪造邮件/网站诱导用户操作(如点击链接)。A是暴力破解攻击,C是DDoS攻击,D是勒索软件攻击,均不符合钓鱼特征。

    ATTCK框架中“InitialAccess(初始访问)”属于以下哪类分类?

    A.战术(Tactics)

    B.技术(Techniques)

    C.过程(Procedures)

    D.数据源(DataSources)

    答案:A

    解析:ATTCK框架采用“战术-技术-过程”分层结构,“InitialAccess”是攻击生命周期中的首个战术阶段(TA0001)。B是战术下的具体技术(如T1566钓鱼),C是技术的具体实施步骤,D是检测所需的数据类型。

    以下哪种日志最常用于检测横向移动攻击?

    A.防火墙访问日志

    B.终端进程创建日志

    C.邮件服务器日志

    D.Web应用访问日志

    答案:B

    解析:横向移动(如通过SMB/RDP协议)通常涉及终端上的异常进程(如远程命令执行),进程创建日志(如Windows的Sysmon事件1)可直接反映此类行为。A主要检测边界流量,C检测钓鱼,D检测Web攻击。

    安全运营中“威胁狩猎”的核心目标是?

    A.处理已触发告警的已知威胁

    B.主动发现未被检测到的潜在威胁

    C.定期更新安全设备规则库

    D.完成合规性检查报告

    答案:B

    解析:威胁狩猎是主动、前瞻性的分析过程,通过假设驱动(如“是否存在APT潜伏”)寻找未知或未被检测的威胁。A是应急响应的任务,C是规则维护,D是合规管理。

    以下哪项不属于EDR(端点检测与响应)的核心功能?

    A.终端文件完整性监控

    B.恶意进程内存分析

    C.网络流量深度包检测

    D.可疑行为回溯与隔离

    答案:C

    解析:EDR聚焦终端侧安全,核心是监控终端进程、文件、注册表等行为(如A、B、D)。网络流量检测属于NTA(网络流量分析)或IDS/IPS功能。

    当检测到某服务器异常连接境外C2服务器时,优先采取的抑制措施是?

    A.直接重启服务器

    B.断开该服务器网络连接

    C.修改服务器管理员密码

    D.安装最新安全补丁

    答案:B

    解析:抑制阶段需快速阻断威胁扩散,断开网络连接(如隔离至“沙盒”网络)可防止数据外传或攻击蔓延。A可能丢失内存证据,C、D属于根除阶段措施。

    安全基线检查的主要依据是?

    A.最新漏洞修复公告

    B.组织自定义的安全配置标准

    C.威胁情报中的攻击手法

    D.员工安全意识培训记录

    答案:B

    解析:安全基线是组织定义的“最低安全配置要求”(如账户权限、服务禁用、日志启用等),用于确保设备合规。A是补丁管理依据,C是威胁检测依据,D是意识培训依据。

    以下哪种场景最可能触发“误报”?

    A.攻击者通过SSH暴力破解成功登录

    B.财务部门定期批量下载客户数据

    C.服务器因硬件故障导致日志异常

    D.安全设备检测到已知恶意IP访问

    答案:B

    解析:误报是指正常行为被误判为攻击(如财务部门合规的数据下载被日志关联规则误判为数据泄露)。A、D是真实攻击,C是故障事件(非误报)。

    安全运营指标(KPI)中“MTTR(平均修复时间)”的计算周期是?

    A.从威胁发生到完全根除的时间

    B.从告警触发到响应人员确认的时间

    C.从事件关闭到生成总结报告的时间

    D.从漏洞发现到补丁部署的时间

    答案:A

    解析:MTTR(MeanTimeToRepair)是衡量事件响应效率的核心指标,计算从事件发生(或检测到)到威胁完全根除、系统恢复正常的总时长。B是MTTA(平均检测时间),D是漏洞修复周期。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SOC安全运营日常工作内容的有?()

    A.分析安全设备告警并确认有效性

    B.制定年度安全培训计划

    C.维护SIEM系统的规则库与关联分析模型

    D.对高危漏洞进行风险评估并推动修复

    答案:ACD

    解析:SOC日常核心是监控、检测、响应(A)、工具维护(C)、漏洞管理(D)。B属于安全管理部门职责,非SOC日常运营内容。

    SIEM系统支持的典型数据源包括?()

    A.网

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >