2026年SOC安全运营工程师考试题库（附答案和详细解析）（0205）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的典型核心功能？

A.终端漏洞扫描

B.网络流量清洗

C.日志集中采集与关联分析

D.物理服务器巡检

答案：C

解析：SIEM的核心是通过集中采集多源日志（如网络、终端、应用日志），进行标准化处理、关联分析和实时告警，实现安全事件的统一监控。A属于漏洞扫描工具（如Nessus）功能；B属于WAF或DDoS防护设备功能；D属于运维管理范畴，均非SIEM核心。

ATTCK框架中“横向移动”属于哪个阶段？

A.初始访问

B.持久化

C.命令与控制

D.权限提升后的阶段

答案：D

解析：ATTCK框架将攻击生命周期分为14个阶段，“横向移动”（LateralMovement）发生在攻击者获得初始权限后，通过凭证窃取、远程服务等手段渗透同一网络内其他设备，属于权限提升后的扩展阶段。初始访问（A）是攻击起点，持久化（B）是维持权限，命令与控制（C）是建立C2通信，均不符合。

以下哪种日志最常用于检测暴力破解攻击？

A.防火墙会话日志

B.操作系统安全日志

C.数据库慢查询日志

D.应用程序访问日志

答案：B

解析：暴力破解攻击的关键特征是短时间内多次失败的登录尝试，操作系统安全日志（如Windows的Security日志、Linux的/var/lo