2026年SOC安全运营工程师考试题库（附答案和详细解析）（0128）.docxVIP

SOC安全运营工程师考试试卷（总分100分）

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.仅存储日志数据

B.实时日志收集、关联分析与警报触发

C.网络流量可视化

D.终端设备硬件监控

答案：B

解析：SIEM的核心功能是通过收集多源日志（如网络、主机、应用日志），进行关联分析（如时间线关联、攻击链关联），并基于规则或机器学习触发警报。选项A错误，因SIEM不仅存储，更强调分析；C是网络监控工具（如NetFlow分析）的功能；D属于IT运维范畴，非SIEM核心。

ATTCK框架中“初始访问（InitialAccess）”阶段对应的典型攻击手段是？

A.横向移动（LateralMovement）

B.鱼叉式钓鱼邮件（SpearPhishing）

C.权限提升（PrivilegeEscalation）

D.数据泄露（Exfiltration）

答案：B

解析：ATTCK框架将攻击阶段分为初始访问、执行、持久化等。初始访问指攻击者首次进入目标系统的手段，鱼叉式钓鱼邮件是典型初始访问方式。A属于横向移动阶段，C是权限提升阶段，D是数据泄露阶段，均错误。

以下哪种日志最适合用于分析网络流量中的异常会话？

A.主机系统日志（SystemLog）

B.NetFlow日志（网络流量元数据）

C.应用程