2026年SOC安全运营工程师考试题库（附答案和详细解析）（0122）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

SIEM系统的核心功能是以下哪项？

A.终端漏洞扫描

B.网络流量镜像

C.多源日志关联分析

D.病毒特征库更新

答案：C

解析：SIEM（安全信息与事件管理）系统的核心是通过收集、标准化和关联多源日志（如网络、主机、应用日志），识别潜在安全事件。选项A是漏洞扫描工具功能，B是网络监控技术，D是杀毒软件功能，均非SIEM核心。

以下哪类攻击属于APT（高级持续性威胁）的典型特征？

A.随机DDoS攻击

B.针对特定目标的长期渗透

C.广泛传播的勒索软件

D.利用已知漏洞的蠕虫攻击

答案：B

解析：APT的核心特征是“定向性”和“持续性”，攻击者针对特定目标（如政府、企业）长期潜伏。选项A、C、D均为随机或广泛攻击，不符合APT的定向长期特点。

安全事件分级的主要依据通常不包括？

A.受影响资产的重要性

B.事件造成的业务损失

C.攻击者使用的技术手段

D.事件影响的用户范围

答案：C

解析：安全事件分级的核心是“影响程度”，包括资产重要性（如核心服务器）、业务损失（如服务中断时长）、用户范围（如千万级用户数据泄露）。攻击者技术手段（如是否使用0day）不直接决定分级，因此选C。

日志分析中，关键日志的保留周期主要由以下哪项决定？

A.存储设备容量

B.企业IT预算

C.法律法