2026年SOC安全运营工程师考试题库（附答案和详细解析）（0227）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备防病毒防护

B.集中日志采集、关联分析与事件告警

C.网络流量清洗与DDoS防护

D.漏洞扫描与修复建议推送

答案：B

解析：SIEM的核心是通过收集多源日志（如网络设备、主机、应用日志），进行标准化、关联分析和实时告警，辅助安全分析师发现异常。A是EDR（终端检测响应）功能，C是WAF/DDos防护设备功能，D是漏洞管理系统功能。

以下哪种日志类型通常不包含用户行为信息？

A.防火墙访问日志

B.数据库审计日志

C.操作系统安全日志（WindowsSecurityLog）

D.网络设备Syslog系统日志

答案：D

解析：网络设备Syslog主要记录设备自身运行状态（如接口UP/DOWN、进程异常），不包含用户操作行为；A记录源IP/目标IP等访问行为，B记录数据库增删改查操作，C记录登录、权限变更等用户行为。

ATTCK框架中“Persistence（持久化）”属于哪个层级？

A.技术（Techniques）

B.子技术（Sub-techniques）

C.战术（Tactics）

D.对抗措施（Mitigations）

答案：C

解析：ATTCK框架采用“战术-技术-子技术”三层结构，战术（Tactics