2026年SOC安全运营工程师考试题库（附答案和详细解析）（0307）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备硬件监控

B.集中日志采集、分析与告警

C.物理服务器环境监控

D.员工考勤数据统计

答案：B

解析：SIEM系统的核心是通过收集、标准化、关联分析各类日志（如网络、系统、应用日志），实现安全事件的实时检测与告警。选项A、C属于运维监控范畴，D为人力资源管理功能，均非SIEM核心。

ATTCK框架中“InitialAccess（初始访问）”属于以下哪个阶段？

A.持续阶段（Persistence）

B.侦察阶段（Reconnaissance）

C.杀伤链（KillChain）的前期阶段

D.横向移动（LateralMovement）

答案：C

解析：ATTCK框架将攻击生命周期分为14个阶段，“InitialAccess”是攻击者首次进入目标系统的阶段，属于杀伤链的前期（如钓鱼邮件、漏洞利用等）。A是维持权限阶段，B是攻击前的信息收集，D是内网渗透阶段，均错误。

以下哪种日志类型通常包含用户登录失败的详细信息？

A.网络流量日志（NetFlow）

B.系统安全日志（SecurityLog）

C.应用程序性能日志（APM）

D.数据库慢查询日志（SlowQueryLog）

答案：B

解析：系统安全日志