2026年SOC安全运营工程师考试题库（附答案和详细解析）（0120）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

SIEM（安全信息与事件管理）系统的核心功能是？

A.漏洞扫描与修复

B.集中日志管理与关联分析

C.终端病毒查杀

D.网络流量控制

答案：B

解析：SIEM的核心是通过收集、标准化、存储多源日志（如网络、主机、应用），并基于规则或AI进行关联分析，发现潜在威胁。A为漏洞管理系统功能，C为杀毒软件功能，D为防火墙功能，均非SIEM核心。

威胁检测中，最主要的数据源是？

A.用户投诉记录

B.网络流量与日志

C.服务器硬件监控数据

D.员工办公设备型号

答案：B

解析：威胁检测依赖网络流量（如异常连接）和日志（如登录失败）等结构化数据，可直接反映攻击行为。A为被动反馈，C关注硬件状态，D与安全无关，均非主要数据源。

应急响应流程中，首要步骤是？

A.修复系统漏洞

B.隔离受影响资产

C.分析攻击路径

D.上报管理层

答案：B

解析：应急响应的核心是控制损失扩大，因此需优先隔离受感染主机或网络，防止横向渗透。A、C为后续处理步骤，D为同步动作但非首要。

以下哪种攻击属于“内存马”攻击？

A.钓鱼邮件附件执行

B.WebShell写入服务器

C.恶意代码驻留内存不落地

D.DDoS流量攻击

答案：C

解析：内存马通过注入进程或修改内存数据实现驻留，不生成磁盘文件，难以通过传统文件