面试篇_爱吃微微前的安服岗

hvv前还有师傅面安服岗我是万万么想到的，可是偏偏这个师傅就在up身边，也是很久没发过文章了不知道还有没有师傅会看，话不多说直接开始吧。

背景

某著名央企市公司

薪资范围:7-10k

坐标:某二线城市 规模一般

前戏自我介绍（画重点，要有hvv经历的，后面细细抓，要懂安全设备的，后边也细细抓。）

问:之前哪里hvv过？主要负责哪一块？

答:之前在某xxx和xxx hvv过，主要负责安全事件研判，同时协助做突发事件的应急响应及溯源（后面就是自己经历的展开了，但是这里推荐师傅们"看价钱给答案"，因为这个面试对我们的师傅来说相对比较稳，非要凑个全能王，单人应急溯源，那就不是这个价钱了，前提是自己觉得稳嗷）。

问：对设备的了解多吗？大概都了解和深入接触过哪些安全设备？

答：因为之前做过安全系统管理员，市面上的主流安全产品全都接触过了，对态势感知、防火墙、漏扫、edr使用最多，其他的诸如waf、抗ddos、日志审计等也十分了解，目前主流基调都是将产品简单化，也放进了更多功能，我个人觉得下一代防火墙就是一个很好的例子，将waf、流量分析、自动拦截、病毒检测等功能都放了一部分，虽然现在还不能算十分完全，但未来的趋势就是接入ai、云值守等，将防护的面拓宽，使安全产品的功能更多元。（瞎编吧，会什么说什么得了）

问:设想一个场景，如果你把需要同时监管的安全设备纳入云端，但是在云端的统一告警模板误报率很高你要怎么处理？

答:云端的数据都是采集自本地安全设备的，一般来说误报率可能集中在态感或waf，也可能是某些可疑文件引起edr告警，先假设是某台设备出现了该种情况，先将主要的大量雷同告警抽出，确认为误报无疑后做过滤，定点或将内容特征作为过滤器，后续就是观察是否还有误报的出现了。（这里答的时候紧张了忽略了一个问题，这个云端采集的时候是将防火墙的拦截也po上去的，如果频繁触发规则异常有可能出现大量告警，师傅们懂就得了。）

问:在态感上遇到病毒告警，但内容是大量的可疑字符告警怎么办？是不是可以定性为真实事件？

答:（这个师傅们也不用说了，绝大部分都是误报的 但是面试官就是想听原因，咱只好硬着头皮解释一下，说的不对的师傅们包涵）目前态势感知对病毒类告警的正确率其实中等，杂乱字符有可能是上传文件在转码过程中出现的，无法直接判断是病毒，我个人的经历中就发现过类似事件，从上传文件的内容、网站转码的方式都可能出现，集中在PDF文件上比较多容易出现误报，是否为病毒需要利用杀软或沙箱进行测试才可得出结论。

因为其他问题涉及了师傅的某些个人项目经历之类的就不放出来了，虽然短了点但是这个面试属实是压力给足了，面试官主要是抓着hvv经历狠狠问，甚至值班晚上会不会睡觉都问出来了....写下这篇的时候up还在外边，用手机敲的，大家先凑合看看吧，之后会尽量恢复更新频率的。

原文始发于微信公众号（一己之见安全团队）：面试篇_爱吃微微前的安服岗