2026年SOC安全运营工程师考试题库（附答案和详细解析）（0208）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.多源日志的聚合与关联分析

B.终端设备的病毒查杀

C.网络流量的加密传输

D.物理服务器的温度监控

答案：A

解析：SIEM系统的核心是通过收集、标准化、关联分析多源日志（如网络、主机、应用日志），识别潜在安全事件。B是EDR（端点检测与响应）的功能，C是VPN的功能，D是机房监控系统的功能，均非SIEM核心。

以下哪种攻击属于APT（高级持续性威胁）的典型特征？

A.临时发起的勒索软件攻击

B.针对特定目标的长期渗透

C.随机扫描的端口爆破

D.利用已知漏洞的蠕虫传播

答案：B

解析：APT的核心特征是针对特定目标（如政府、企业）的长期（数月至数年）、隐蔽性攻击。A、C、D均为短期、随机或广泛传播的攻击，不符合APT的“持续性”和“针对性”。

日志分析中，“5分钟内同一IP尝试100次SSH登录失败”最可能表示？

A.合法用户忘记密码

B.暴力破解攻击

C.系统日志错误

D.网络延迟导致的重复请求

答案：B

解析：高频失败登录是暴力破解的典型特征。合法用户通常失败次数少（如3-5次），日志错误或网络延迟不会呈现规律性高频失败，因此B为正确选项。

威胁情报平台（TIP）的主要作用是？

A.存储原始网络流量

B.整合与