2026年SOC安全运营工程师考试题库（附答案和详细解析）（0203）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备漏洞扫描

B.集中日志采集、分析与关联

C.网络流量深度包检测（DPI）

D.员工安全意识培训

答案：B

解析：SIEM的核心功能是通过收集多源日志（如网络设备、主机、应用等），进行标准化处理、关联分析和实时监控，帮助安全团队发现异常事件。选项A是漏洞扫描工具的功能，C是IDS/IPS或DPI设备的功能，D属于安全培训体系内容，均非SIEM核心。

在威胁检测中，“行为基线”的主要作用是？

A.记录所有用户的历史操作行为

B.识别偏离正常模式的异常行为

C.存储已知恶意软件的特征库

D.阻断所有未授权网络访问

答案：B

解析：行为基线通过分析正常操作的时间、频率、对象等特征建立“正常模式”，当检测到偏离该模式的行为（如非工作时间登录、异常数据传输量）时触发告警。选项A是日志存储功能，C是特征检测（如AV引擎）的基础，D是防火墙的功能，均不符合基线定义。

以下哪种日志类型通常不包含用户身份信息？

A.网络设备的访问控制列表（ACL）日志

B.堡垒机的操作审计日志

C.邮件服务器的SMTP会话日志

D.数据库的登录认证日志

答案：A

解析：ACL日志主要记录流量是否通过规则（如允许/拒绝），通常包含源IP、目的IP、端