1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0108).docxVIP

  • 0
  • 0
  • 约7.18千字
  • 约 10页
  • 2026-02-06 发布于江苏
  • 举报

2026年SOC安全运营工程师考试题库(附答案和详细解析)(0108).docx

    SOC安全运营工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是SIEM(安全信息与事件管理)系统的核心功能?

    A.终端病毒查杀

    B.集中日志管理与关联分析

    C.网络流量清洗(DDoS防护)

    D.漏洞扫描与修复建议

    答案:B

    解析:SIEM的核心是收集、存储、分析日志,并通过关联规则发现安全事件(如B)。A属于终端安全产品(如EDR)功能;C属于DDoS防护设备功能;D属于漏洞管理系统功能,均非SIEM核心。

    在SOC日常运营中,“告警降噪”的主要目的是?

    A.减少日志存储量

    B.提升高风险告警的可见性

    C.降低网络带宽消耗

    D.简化安全事件报告模板

    答案:B

    解析:告警降噪通过过滤误报、合并重复告警,使分析师聚焦高风险事件(如B)。A是日志归档/压缩的目的;C是日志传输优化的目标;D与报告格式相关,均非降噪核心。

    ATTCK框架中“TTP”指的是?

    A.威胁情报平台(ThreatIntelligencePlatform)

    B.战术、技术、过程(Tactics,Techniques,Procedures)

    C.终端检测与响应(EndpointDetectionandResponse)

    D.横向移动路径(LateralMovementPath)

    答案:B

    解析:ATTCK的核心是攻击者的战术(Tactics)、技术(Techniques)和过程(Procedures)(如B)。A是TIP的缩写;C是EDR的定义;D是攻击阶段的具体行为,均不符合。

    以下哪种日志最适合用于检测横向移动攻击?

    A.防火墙访问日志

    B.邮件网关日志

    C.域控制器的安全日志

    D.Web服务器访问日志

    答案:C

    解析:横向移动常涉及域内认证(如使用LSASS内存窃取、票据伪造),域控制器的安全日志(记录登录、权限变更)能有效检测(如C)。A主要记录网络流量;B记录邮件收发;D记录Web请求,均非横向移动关键日志。

    应急响应流程中,“遏制(Containment)”阶段的首要目标是?

    A.恢复受影响系统

    B.防止攻击扩散

    C.收集攻击证据

    D.分析攻击根因

    答案:B

    解析:遏制阶段的核心是阻止攻击进一步扩散(如B)。A属于恢复阶段;C属于取证阶段;D属于分析阶段,均非遏制阶段目标。

    以下哪项不属于威胁情报的关键要素?

    A.攻击者基础设施(如C2域名)

    B.漏洞利用代码(PoC)

    C.企业员工通讯录

    D.攻击工具特征(如恶意软件哈希)

    答案:C

    解析:威胁情报需包含与安全相关的信息(如A/B/D),企业通讯录属于内部信息,与威胁无关(如C)。

    在日志分析中,“时间线关联”的主要作用是?

    A.统计日志数量

    B.发现事件的先后顺序与因果关系

    C.压缩日志存储体积

    D.生成可视化仪表盘

    答案:B

    解析:时间线关联通过按时间顺序排列事件,揭示攻击链(如B)。A是日志统计功能;C是存储优化;D是可视化需求,均非关联核心。

    以下哪种场景最可能触发“高优先级告警”?

    A.员工访问公司内部知识库

    B.服务器30分钟内出现5次错误登录

    C.终端检测到已知勒索软件哈希

    D.网络带宽使用率达到70%

    答案:C

    解析:已知勒索软件哈希属于明确恶意行为(如C),需立即处理。A是正常访问;B可能是误操作(需结合阈值判断);D是常规流量,均非高优先级。

    SOC团队进行“威胁狩猎”时,主要针对的是?

    A.已触发告警的已知攻击

    B.未被现有规则检测到的潜在威胁

    C.合规性检查中的日志缺失

    D.安全设备的性能瓶颈

    答案:B

    解析:威胁狩猎是主动寻找未被常规检测发现的威胁(如B)。A是告警响应的范畴;C是合规审计;D是设备运维,均非狩猎目标。

    以下哪项是“零信任架构”在SOC运营中的典型应用?

    A.所有用户默认拥有最高权限

    B.基于身份、设备状态动态验证访问请求

    C.仅允许内网用户访问关键系统

    D.关闭所有外部网络接口

    答案:B

    解析:零信任的核心是“永不信任,始终验证”,动态验证访问(如B)。A违背最小权限原则;C是传统边界防御;D过度限制业务,均不符合零信任。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于SOC日常运营关键指标(KPI)的有?

    A.告警平均处理时间(MTTA)

    B.服务器CPU利用率

    C.安全事件闭环率

    D.日志采集覆盖率

    答案:ACD

    解析:SOCKPI需反映安全运营效率(如A/C)和基础能力(如D)。B是服务器性能指标,与安全运营无直接关联。

    日志分析中,“异常检测”的常用方法包括?

    A.基于规则的模式匹配

    B.机器学习行为建模

    C.历史基线对比

    D.员工主观经验判断

    答案:ABC

    解析:异常检测需客观方法(如A/B/C)。

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >