2026年SOC安全运营工程师考试题库（附答案和详细解析）（0114）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备漏洞扫描

B.集中日志采集、存储与关联分析

C.网络流量深度包检测（DPI）

D.主机入侵防御（HIPS）

答案：B

解析：SIEM的核心是通过收集多源日志（如网络、主机、应用），进行标准化、关联分析和可视化，帮助安全团队快速识别威胁。A是漏洞扫描工具功能，C是IDS/IPS或DPI设备功能，D是终端防护软件功能，均非SIEM核心。

以下哪种日志类型通常不包含用户登录行为信息？

A.操作系统安全日志（WindowsSecurityLog）

B.网络设备AAA日志（认证、授权、审计）

C.Web应用访问日志（Apache/Nginx）

D.数据库慢查询日志（MySQLSlowQueryLog）

答案：D

解析：数据库慢查询日志记录执行时间过长的SQL语句，关注性能而非用户登录；A记录账户登录/注销事件，B记录网络设备认证过程，C记录Web请求的用户IP和访问路径，均包含登录相关信息。

在威胁狩猎中，“TTPs”指的是？

A.威胁情报平台（ThreatIntelligencePlatform）

B.战术、技术与过程（Tactics,Techniques,Procedures）

C.终端检测与响应（En