面试篇_爱吃微微前的安服岗

admin 2025年3月5日21:13:27评论9 views字数 1196阅读3分59秒阅读模式

hvv前还有师傅面安服岗我是万万么想到的,可是偏偏这个师傅就在up身边,也是很久没发过文章了不知道还有没有师傅会看,话不多说直接开始吧。

背景

某著名央企市公司

薪资范围:7-10k

坐标:某二线城市 规模一般

前戏自我介绍(画重点,要有hvv经历的,后面细细抓,要懂安全设备的,后边也细细抓。)

问:之前哪里hvv过?主要负责哪一块?

答:之前在某xxx和xxx hvv过,主要负责安全事件研判,同时协助做突发事件的应急响应及溯源(后面就是自己经历的展开了,但是这里推荐师傅们"看价钱给答案",因为这个面试对我们的师傅来说相对比较稳,非要凑个全能王,单人应急溯源,那就不是这个价钱了,前提是自己觉得稳嗷)。

问:对设备的了解多吗?大概都了解和深入接触过哪些安全设备?

答:因为之前做过安全系统管理员,市面上的主流安全产品全都接触过了,对态势感知、防火墙、漏扫、edr使用最多,其他的诸如waf、抗ddos、日志审计等也十分了解,目前主流基调都是将产品简单化,也放进了更多功能,我个人觉得下一代防火墙就是一个很好的例子,将waf、流量分析、自动拦截、病毒检测等功能都放了一部分,虽然现在还不能算十分完全,但未来的趋势就是接入ai、云值守等,将防护的面拓宽,使安全产品的功能更多元。(瞎编吧,会什么说什么得了)

问:设想一个场景,如果你把需要同时监管的安全设备纳入云端,但是在云端的统一告警模板误报率很高你要怎么处理?

答:云端的数据都是采集自本地安全设备的,一般来说误报率可能集中在态感或waf,也可能是某些可疑文件引起edr告警,先假设是某台设备出现了该种情况,先将主要的大量雷同告警抽出,确认为误报无疑后做过滤,定点或将内容特征作为过滤器,后续就是观察是否还有误报的出现了。(这里答的时候紧张了忽略了一个问题,这个云端采集的时候是将防火墙的拦截也po上去的,如果频繁触发规则异常有可能出现大量告警,师傅们懂就得了。)

问:在态感上遇到病毒告警,但内容是大量的可疑字符告警怎么办?是不是可以定性为真实事件?

答:(这个师傅们也不用说了,绝大部分都是误报的 但是面试官就是想听原因,咱只好硬着头皮解释一下,说的不对的师傅们包涵)目前态势感知对病毒类告警的正确率其实中等,杂乱字符有可能是上传文件在转码过程中出现的,无法直接判断是病毒,我个人的经历中就发现过类似事件,从上传文件的内容、网站转码的方式都可能出现,集中在PDF文件上比较多容易出现误报,是否为病毒需要利用杀软或沙箱进行测试才可得出结论。

因为其他问题涉及了师傅的某些个人项目经历之类的就不放出来了,虽然短了点但是这个面试属实是压力给足了,面试官主要是抓着hvv经历狠狠问,甚至值班晚上会不会睡觉都问出来了....写下这篇的时候up还在外边,用手机敲的,大家先凑合看看吧,之后会尽量恢复更新频率的。

原文始发于微信公众号(一己之见安全团队):面试篇_爱吃微微前的安服岗

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月5日21:13:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   面试篇_爱吃微微前的安服岗https://cn-sec.com/archives/3794911.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息