2026年SOC安全运营工程师考试题库（附答案和详细解析）（0311）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.端点漏洞扫描

B.集中日志管理与分析

C.网络流量镜像采集

D.物理服务器巡检

答案：B

解析：SIEM的核心功能是通过收集、归一化、分析多源日志（如网络、主机、应用日志），实现安全事件的集中监控与关联分析。A为漏洞扫描工具功能（如Nessus），C为流量监控设备（如TAP）功能，D为运维管理范畴，均非SIEM核心。

威胁狩猎的主要目标是？

A.修复已知漏洞

B.识别未被检测到的潜在威胁

C.生成合规报告

D.配置防火墙策略

答案：B

解析：威胁狩猎是主动寻找环境中未被现有检测机制发现的威胁（如APT持久化工具），属于主动防御手段。A是漏洞管理任务，C是合规审计需求，D是网络安全设备配置，均非威胁狩猎目标。

以下哪类日志最常用于分析恶意软件执行路径？

A.网络流量日志（NetFlow）

B.防火墙访问日志

C.主机进程日志（如WindowsSysmon）

D.数据库查询日志

答案：C

解析：主机进程日志（如Sysmon记录的进程创建、文件操作）能直接反映恶意软件在端点的执行行为（如创建恶意进程、修改注册表）。A/B主要反映网络通信，D反映数据库操作，均无法直接追踪恶意软件执行路径。

ATTCK框架中“Persisten