hvv前还有师傅面安服岗我是万万么想到的,可是偏偏这个师傅就在up身边,也是很久没发过文章了不知道还有没有师傅会看,话不多说直接开始吧。
背景
某著名央企市公司
薪资范围:7-10k
坐标:某二线城市 规模一般
前戏自我介绍(画重点,要有hvv经历的,后面细细抓,要懂安全设备的,后边也细细抓。)
问:之前哪里hvv过?主要负责哪一块?
答:之前在某xxx和xxx hvv过,主要负责安全事件研判,同时协助做突发事件的应急响应及溯源(后面就是自己经历的展开了,但是这里推荐师傅们"看价钱给答案",因为这个面试对我们的师傅来说相对比较稳,非要凑个全能王,单人应急溯源,那就不是这个价钱了,前提是自己觉得稳嗷)。
问:对设备的了解多吗?大概都了解和深入接触过哪些安全设备?
答:因为之前做过安全系统管理员,市面上的主流安全产品全都接触过了,对态势感知、防火墙、漏扫、edr使用最多,其他的诸如waf、抗ddos、日志审计等也十分了解,目前主流基调都是将产品简单化,也放进了更多功能,我个人觉得下一代防火墙就是一个很好的例子,将waf、流量分析、自动拦截、病毒检测等功能都放了一部分,虽然现在还不能算十分完全,但未来的趋势就是接入ai、云值守等,将防护的面拓宽,使安全产品的功能更多元。(瞎编吧,会什么说什么得了)
问:设想一个场景,如果你把需要同时监管的安全设备纳入云端,但是在云端的统一告警模板误报率很高你要怎么处理?
答:云端的数据都是采集自本地安全设备的,一般来说误报率可能集中在态感或waf,也可能是某些可疑文件引起edr告警,先假设是某台设备出现了该种情况,先将主要的大量雷同告警抽出,确认为误报无疑后做过滤,定点或将内容特征作为过滤器,后续就是观察是否还有误报的出现了。(这里答的时候紧张了忽略了一个问题,这个云端采集的时候是将防火墙的拦截也po上去的,如果频繁触发规则异常有可能出现大量告警,师傅们懂就得了。)
问:在态感上遇到病毒告警,但内容是大量的可疑字符告警怎么办?是不是可以定性为真实事件?
答:(这个师傅们也不用说了,绝大部分都是误报的 但是面试官就是想听原因,咱只好硬着头皮解释一下,说的不对的师傅们包涵)目前态势感知对病毒类告警的正确率其实中等,杂乱字符有可能是上传文件在转码过程中出现的,无法直接判断是病毒,我个人的经历中就发现过类似事件,从上传文件的内容、网站转码的方式都可能出现,集中在PDF文件上比较多容易出现误报,是否为病毒需要利用杀软或沙箱进行测试才可得出结论。
因为其他问题涉及了师傅的某些个人项目经历之类的就不放出来了,虽然短了点但是这个面试属实是压力给足了,面试官主要是抓着hvv经历狠狠问,甚至值班晚上会不会睡觉都问出来了....写下这篇的时候up还在外边,用手机敲的,大家先凑合看看吧,之后会尽量恢复更新频率的。
原文始发于微信公众号(一己之见安全团队):面试篇_爱吃微微前的安服岗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论