2026年SOC安全运营工程师考试题库（附答案和详细解析）（0606）.docxVIP

SOC安全运营工程师

一、单项选择题（共10题，每题1分，共10分）

在SOC（安全运营中心）的7*24小时监控中，安全分析师接收到告警日志显示某内部IP地址在短时间内向外部IP发送了大量数据包，且目的端口为443。以下哪项操作最符合合规要求？A.立即断开该IP与内网的连接，并重置路由器配置B.保留相关日志，进一步排查是否为C2通信，同时记录事件C.忽略该告警，因为443端口是合法的HTTPS通信端口D.向该用户发送警告邮件，要求其立即停止操作

答案：B解析：*正确选项：B。SOC分析师的首要职责是确认威胁。443端口虽然通常用于HTTPS，但也可能被滥用（如数据外传）。在未确认前，不应直接断网或重置配置，这可能导致合法业务中断。正确的做法是保留证据（日志），进一步分析，同时记录事件以便后续溯源。

在威胁情报中，IOC（IndicatorsofCompromise）是指什么？A.漏洞利用代码B.威胁指标，用于识别攻击的迹象C.防火墙的访问控制列表D.安全设备的固件版本

答案：B解析：*正确选项：B。IOC是用于识别攻击行为或攻击者痕迹的数据点（如IP、域名、文件哈希、URL等）。*错误选项：A属于攻击手段；C和D是安全配置，不属于用于检测威胁的指标。

下列哪项技术主要用于检测网络中的异常流量，而非基于特征库？A.签名检测B.