2026年SOC安全运营工程师考试题库（附答案和详细解析）（0218）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

SIEM（安全信息与事件管理）系统的核心功能是以下哪项？

A.终端设备漏洞扫描

B.网络流量实时镜像

C.多源日志关联分析

D.员工安全意识培训

答案：C

解析：SIEM的核心功能是收集、标准化、分析来自不同源的日志数据，并通过关联分析识别潜在安全事件（如攻击链行为）。A是漏洞扫描工具功能，B是流量监控设备功能，D是安全培训模块内容，均非SIEM核心。

ATTCK框架的主要作用是？

A.评估网络带宽性能

B.标准化攻击战术与技术描述

C.自动化补丁管理

D.生成合规审计报告

答案：B

解析：ATTCK（AdversarialTactics,Techniques,andCommonKnowledge）是MITRE发布的攻击行为知识库，用于标准化描述攻击者的战术（如横向移动）、技术（如远程服务利用）和过程（如命令与控制）。A是网络监控工具功能，C是补丁管理系统功能，D是合规工具功能，均与ATTCK无关。

以下哪项不属于异常流量检测的关键指标？

A.单位时间内连接数突增

B.非标准端口的高频通信

C.源IP地址的地理分布异常

D.员工考勤系统登录次数

答案：D

解析：异常流量检测关注网络层面的异常特征（如连接数、端口、IP地理分布），员工考勤系统登录次数属于业务系统行为，与网络