2026年SOC安全运营工程师考试题库（附答案和详细解析）（0502）.docxVIP

2026年SOC安全运营工程师考试题库（附答案和详细解析）（0502）

SOC安全运营工程师模拟试卷

一、单项选择题（共10题，每题1分，共10分）

在SIEM系统中，下列哪项是”事件关联分析”的核心目标？

A.提高日志存储效率

B.识别跨系统的攻击模式

C.减少网络带宽消耗

D.自动修补系统漏洞

答案：B

解析：事件关联分析通过比对不同来源的日志数据，识别潜在的攻击链条（如从钓鱼邮件到内网横向移动），其核心是发现跨系统攻击行为。A、C涉及系统优化，D属于响应阶段功能。

SOAR技术的主要功能聚焦于：

A.恶意软件静态分析

B.安全流程自动化编排

C.物理门禁系统控制

D.员工安全意识培训

答案：B

解析：SOAR（安全编排自动化响应）通过预定义剧本实现告警分诊、响应动作自动化。A属于沙箱分析范畴，C/D不涉及技术自动化。

二、多项选择题（共10题，每题2分，共20分）

有效的威胁情报应具备哪些特征？（）

A.包含攻击者真实姓名

B.具有可操作性（Actionable）

C.时效性在1年以上

D.包含IoC（失陷指标）

答案：BD

解析：可操作性（如提供阻断规则）和IoC（如恶意IP/域名）是核心价值；攻击者姓名通常不可获取（A错误），威胁情报时效性通常以天/周计（C错误）。

下列哪些场景可能触发NGFW的应用控制策略？（）

A.用户访问加密的HTTP