2026年SOC安全运营工程师考试题库（附答案和详细解析）（0204）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是SIEM（安全信息与事件管理）系统的核心功能？

A.终端设备漏洞扫描

B.集中日志管理与关联分析

C.网络流量深度包检测（DPI）

D.恶意软件实时查杀

答案：B

解析：SIEM的核心是通过收集、标准化和关联多源日志（如网络、主机、应用日志），实现威胁检测与事件分析。A为漏洞扫描工具功能（如Nessus），C为IDS/IPS或DPI设备功能，D为EDR（端点检测与响应）系统功能。

在安全事件分级中，“导致核心业务中断超过4小时”通常属于几级事件？

A.一级（重大）

B.二级（较大）

C.三级（一般）

D.四级（较小）

答案：A

解析：根据《网络安全事件分类分级指南》，一级事件指对关键信息基础设施、核心业务造成特别严重影响（如核心业务中断超4小时）；二级为严重影响（中断2-4小时），三级为一般影响（中断1-2小时），四级为轻微影响（中断1小时）。

以下哪种日志最常用于分析横向移动攻击？

A.防火墙访问日志

B.Windows安全日志（SecurityEventLog）

C.Web应用访问日志

D.数据库慢查询日志

答案：B

解析：横向移动攻击（如通过SMB/CIFS协议传播）会触发Windows安全日志中的“登录事件（4624）”“远程服务调用（4688）”等；A主要记