2026年SOC安全运营工程师考试题库（附答案和详细解析）（0422）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

在SOC运营中，SIEM工具的主要功能是什么？

A.仅用于存储日志数据

B.提供实时日志收集、关联分析和警报生成

C.替代防火墙进行网络边界防护

D.仅用于漏洞扫描和修复

答案：B

解析：正确选项B的依据是SIEM（安全信息和事件管理）工具的核心功能包括实时日志收集、数据关联分析以检测异常模式，并生成警报，这符合SOC的威胁检测需求。错误选项A问题在于SIEM不仅存储日志，还进行主动分析；C问题在于防火墙负责边界安全，SIEM不替代它；D问题在于漏洞扫描由专用工具（如Nessus）处理，SIEM不直接修复漏洞。

事件响应流程中的第一步通常是什么？

A.遏制攻击

B.检测事件

C.准备阶段

D.根除威胁

答案：C

解析：正确选项C的依据是NIST事件响应框架（SP800-61）强调准备阶段（如制定计划、培训人员）为后续步骤奠定基础。错误选项A、B、D问题在于它们属于后续阶段：检测是第二步，遏制和根除是第四、五步。

MITREATTCK框架主要用于什么目的？

A.定义网络安全合规标准

B.描述攻击者的战术、技术和过程（TTPs）

C.管理用户身份认证

D.优化网络带宽使用

答案：B

解析：正确选项B的依据是MITREATTCK框架是一个知识库，详细分类攻击者的行为模式（如初始访问