保真|国护初中级蓝队面试题

admin 2023年5月21日15:31:36评论163 views字数 1226阅读4分5秒阅读模式

写在前面

    上一个红队PK项目跟实验室师傅们一起坐牢,一直没时间学习更新推送,意外的是坐牢居然混了个第二。项目结束以后临时去面了两次渠道国护的蓝队,很少面试别人,所以我面试之前旁听收集了其他师傅面试的问题。

    分享一下自己收集和面试别人的试题,不一定全面,但保证真实。另外,面试题可以锦上添花不能雪中送炭,关键的还是过往经验。


目录

0x01 自我介绍0x02 监测0x03 研判0x04 处置/应急0x05 溯源0x06 设备

保真|国护初中级蓝队面试题




自我介绍


    像我面试其他师傅的话重点关注工作/项目经历,从事过什么安服工作,有没有国护重保的经历可以介绍个人的HW经验,主要介绍过去负责的是HW的哪一块工作内容,使用过哪个厂商的什么安全产品,有没有做过漏洞复现、渗透测试工作等等。

    不需要很冗长,控制在两三分钟。


监测


做过渗透测试吗,如果有渗透测试的经历,简单说一下渗透测试的步骤

如何判断某次告警误报

如何判断攻击是否成功

有个爆破行为,如何判断是否成功

如果确定是恶意IP,后面怎么做

中间件有哪些漏洞
菜刀/蚁剑/哥斯拉/冰蝎有什么特征

钓鱼邮件分析哪些内容

钓鱼邮件处置


研判

研判的流程是什么(研判经验):

查看监测的告警,判断是否成功,再根据事件是否成功上报。

如何判断攻击是否成功:

    查看请求包、返回包:请求的中的信息如whoami、sql注入,是否有对应返回。

    根据攻击类型和返回:请求的中的信息如whoami、sql注入,是否有对应返回。

    报警类型:报警类型能否跟攻击载荷对应上

    返回码:200重点关注。

    攻击行为:根据此IP不同时间前后连贯性

返回包内容加密怎么判断是否攻击成功:

如果有向外的恶意域名请求,如何判断是否解析成功    

如何判断攻击IP是否恶意

如果是真实攻击怎么操作

    判断攻击是否成功,分类讨论

恶意回连告警,如何判断是否是为真实恶意回连

哪些请求头查看真实ip

    XFF(x-forword-for),有一些企业自定义的头

代码执行命令执行恶意函数

    require、include、exec、system、shell_exec

终端防护设备的作用

流量防护设备的作用

如何分析攻击成功事件的攻击过程(通过流量监测上)

    根据此IP的攻击时间,跟踪行为。判断攻击成功的漏洞,后续的行为,被攻击的主机范围。

处置/应急

(应急处置面到比较少)

参加过应急吗

如果参加过应急,说一下应急响应的步骤/参与什么内容

说一下应急思路

发现某一台主机有回连IP,如何找到对应进程


溯源

说一下溯源的经历

云上IP如何获取注册信息:

csdn如何获得发布者的手机号:

如何利用社工库:

反制相关,渗透测试经历。

蚁剑菜刀冰蝎流量同异

样本分析:如何分析有没有回连


设备

WAF如何做自定义规则、需要准备什么信息

网站经过WAF打不开了,如何排查

态势感知部署探针,镜像流量做单向还是双向





写在最后

     祝诸君好运。


原文始发于微信公众号(云下信安):保真|国护初中级蓝队面试题

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月21日15:31:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   保真|国护初中级蓝队面试题https://cn-sec.com/archives/1749079.html

发表评论

匿名网友 填写信息