原创力文档- 1
- 0
- 约8.38千字
- 约 11页
- 2026-02-08 发布于上海
- 举报
SOC安全运营工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是SIEM(安全信息与事件管理)系统的核心功能?
A.终端病毒查杀
B.集中日志采集、分析与关联
C.网络流量清洗(DDoS防护)
D.漏洞扫描与修复建议
答案:B
解析:SIEM的核心是通过收集多源日志(如网络、系统、应用日志),进行标准化、关联分析和事件聚合,实现威胁检测与合规审计。A属于EDR(端点检测与响应)功能;C属于WAF或DDoS防护设备功能;D属于漏洞管理工具(如Nessus)功能。
在威胁检测中,“基于已知攻击特征的匹配检测”属于哪种技术?
A.异常检测
B.行为分析
C.签名检测
D.沙盒分析
答案:C
解析:签名检测(特征检测)是通过预定义的攻击特征(如恶意代码哈希、入侵规则)匹配流量或日志,是最传统的检测技术。A异常检测基于基线偏离;B行为分析关注操作序列;D沙盒分析通过隔离环境执行样本分析。
以下哪项不属于SOC(安全运营中心)的典型职责?
A.安全事件响应与处置
B.网络设备配置优化
C.威胁情报整合与分析
D.安全合规性监控
答案:B
解析:SOC的核心职责是安全运营(检测、响应、情报、合规),网络设备配置优化属于网络运维范畴。其他选项均为SOC常规工作。
在应急响应流程中,“限制受影响系统的网络连接”属于哪个阶段?
A.准备阶段
B.检测与分析阶段
C.遏制阶段
D.根除与恢复阶段
答案:C
解析:遏制阶段的目标是阻止威胁扩散,常见措施包括隔离主机、关闭服务、封禁IP等。准备阶段是预案制定;检测阶段是发现事件;根除阶段是彻底清除威胁。
以下哪种日志类型通常用于追踪用户对关键系统的操作行为?
A.网络流量日志(如NetFlow)
B.系统内核日志(如Linux/var/log/kern.log)
C.应用审计日志(如数据库操作日志)
D.防火墙会话日志
答案:C
解析:应用审计日志(如数据库的SQL操作记录、文件系统的访问日志)可直接记录用户具体操作行为,用于合规审计和事件追溯。其他日志侧重网络或系统状态,不直接体现用户行为。
ATTCK框架中“横向移动”属于哪个维度?
A.战术(Tactics)
B.技术(Techniques)
C.过程(Procedures)
D.数据源(DataSources)
答案:A
解析:ATTCK矩阵的顶层是战术(如初始访问、横向移动、持久化),战术下包含具体技术(如SMB横向移动、RDP爆破),技术下是攻击者的具体过程。数据源是检测所需的日志类型。
以下哪项是EDR(端点检测与响应)的核心优势?
A.无需在终端部署代理
B.深度分析终端进程、文件与内存行为
C.仅关注网络层威胁
D.替代防火墙实现边界防护
答案:B
解析:EDR通过终端代理采集进程、文件、注册表等细粒度数据,实现恶意行为的深度检测与响应(如隔离文件、终止恶意进程)。A错误,EDR需部署代理;C是NIDS(网络入侵检测系统)的局限;D错误,EDR与防火墙功能互补。
在安全事件分诊中,“确认事件是否真实存在且构成威胁”属于哪个步骤?
A.事件定级(高/中/低危)
B.事件验证(保真)
C.事件溯源(定位攻击者)
D.事件关闭(归档)
答案:B
解析:事件分诊流程通常为:接收告警→验证(确认是否为误报)→定级→分配处置。验证是排除误报(如正常操作触发规则)的关键步骤。
以下哪项不符合安全日志的“完整性”要求?
A.日志包含时间戳、源IP、操作内容等关键信息
B.日志存储后可被任意用户修改
C.日志通过哈希或数字签名防篡改
D.日志保留周期符合合规要求(如等保2.0要求6个月)
答案:B
解析:日志完整性要求防止非授权修改,B选项允许任意用户修改违反了完整性原则。其他选项均符合完整性或合规性要求。
以下哪种场景最适合使用威胁情报进行主动防御?
A.修复已知漏洞(如CVE-2023-1234)
B.检测已部署签名的已知恶意软件
C.针对APT组织最新使用的0day漏洞进行防御
D.定期更新防病毒软件病毒库
答案:C
解析:威胁情报(尤其是IOCs、TTPs)可帮助防御未知或新兴威胁(如0day攻击)。A属于漏洞管理;B、D属于基于签名的传统防御,无需依赖外部情报。
二、多项选择题(共10题,每题2分,共20分)(每题至少2个正确选项)
SOC安全运营中,常用的威胁检测技术包括?
A.基于规则的特征匹配(如Snort规则)
B.机器学习异常检测(如用户行为分析UEBA)
C.全流量深度包检测(DPI)
D.病毒库更新频率监控
答案:ABC
解析:威胁检测技术包括特征匹配(A)、异常检测(B)、深度包检测(C)。D是防病毒软件的维护操作
文档评论(0)