2026年SOC安全运营工程师考试题库（附答案和详细解析）（0511）.docxVIP

SOC安全运营工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

在SOC（安全运营中心）的工作流程中，以下哪个阶段是安全分析师处理告警并采取行动的环节？A.监测阶段B.响应阶段C.恢复阶段D.预防阶段答案：B解析：监测阶段侧重于收集和分析数据；响应阶段是分析师收到告警后进行确认、溯源和处置的环节；恢复阶段是事故处理后的恢复工作；预防阶段通常属于上层架构设计。因此，处理告警属于响应阶段。

下列哪种日志通常用于检测内部人员的权限提升行为或异常的系统配置变更？A.Web服务器访问日志B.操作系统审计日志（如WindowsEventID4624/4625或Linuxsudo/auditd日志）C.防火墙连接日志D.数据库备份日志答案：B解析：Web日志关注外部访问，防火墙关注网络连接，备份日志关注数据保护。操作系统审计日志直接记录用户登录、权限变更等行为，是检测内部威胁和特权滥用最直接的依据。

SOC分析师在进行威胁情报分析时，发现某个恶意IP地址的ASN（自治系统号）属于某知名恶意软件组织。以下哪种情报类型属于该发现？A.行为情报B.基础设施情报C.目标情报D.技术情报答案：B解析：基础设施情报关注恶意软件或攻击者使用的网络基础设施（如IP、域名、域名服务器等）。行为情报关注攻击者的动作，目标情报关注