绿盟科技安全服务面试

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

1. 问：如何通过SIEM工具降低误报率？请从规则优化、数据源整合、威胁情报三个维度说明技术方案
   答：

• • 规则优化：采用Sigma标准化规则库，针对高频误报场景（如正常业务端口扫描）设置白名单阈值，例如将单IP每小时扫描次数阈值从100次调整为500次。
  • 数据源整合：通过syslog标准化传输网络设备日志，对防火墙、WAF日志进行字段映射，消除因日志格式差异导致的误判。
  • 威胁情报集成：对接MISP平台，在告警触发时实时校验IP/域名是否在可信威胁情报库中，并动态调整告警级别。

1. 问：某云上业务突发大规模暴力破解告警，如何快速定位是否为恶意攻击？给出3种技术验证手段
   答：

• • 源IP分析：检查攻击源IP的ASN归属，若集中来自Tor出口节点或IDC托管IP段（如AWS的54.239.0.0/16），可判定为恶意行为。
  • 行为模式识别：通过Kibana可视化统计用户名尝试规律，若存在admin/root/test等高频敏感账户爆破，结合单IP尝试次数超过100次/分钟的特征确认攻击。
  • 关联设备日志：验证同一时段WAF拦截记录是否包含SQL注入或Webshell上传行为，形成攻击链证据。

1. 问：设计SOC事件分级响应机制，需包含定级标准、处置流程、自动化联动方案
   答：

• • 定级标准：

• • • 一级事件：核心业务系统沦陷（如数据库服务器失陷）
    • 二级事件：中危漏洞利用（如Struts2远程代码执行）
    • 三级事件：扫描探测行为

• • 处置流程：一级事件需在15分钟内启动应急响应小组，通过SOAR平台自动隔离受影响资产。
  • 自动化联动：当EDR检测到恶意进程时，通过API触发防火墙阻断该主机外联，并同步通知CMDB更新资产状态。

1. 问：如何通过SOAR实现勒索软件攻击的自动化处置？写出包含检测、阻断、取证的完整Playbook设计
   答：

• • 检测阶段：EDR监控到大量文件加密行为（如文件扩展名变为.encrypted）时触发告警。
  • 阻断阶段：自动执行主机网络隔离（调用防火墙API）、禁用受影响账户、暂停备份任务。
  • 取证阶段：调用Velociraptor采集内存镜像和进程树数据，上传至取证存储区并生成MD5哈希。
  • 恢复阶段：根据备份策略自动触发S3桶历史版本回滚，保留时间窗设置为攻击前72小时。

1. 问：在混合云环境中如何实现安全策略的统一管理？需涵盖东西向流量控制、日志归一化方案
   答：

• • 策略同步：使用Terraform定义安全组规则，通过CI/CD管道同步至AWS Security Groups和Azure NSG，确保规则一致性。
  • 流量控制：部署Calico实现跨云Pod级微隔离，基于Kubernetes标签实施最小权限策略。
  • 日志处理：使用Fluentd统一采集云平台审计日志，通过Grok解析后输入Splunk的CIM模型。

1. 问：ISO 27001审计中发现漏洞修复率不足60%，如何设计闭环管理方案？包含漏洞生命周期各阶段措施
   答：

• • 发现阶段：整合Nessus扫描结果与JIRA工单系统，自动创建P1级任务并指定责任人。
  • 修复阶段：设置72小时SLA，对超时漏洞通过ChatBot推送三次升级提醒。
  • 验证阶段：在Jenkins流水线中集成Tenable.io API，确保代码部署前完成漏洞复测。
  • 归档阶段：生成修复报告并关联GDPR合规文档，存档至Confluence知识库。

1. 问：如何通过NetFlow数据检测APT隐蔽信道？给出3种特征提取方法及对应算法
   答：

• • 时序特征：计算DNS查询间隔的香农熵，使用孤立森林算法识别低频高熵通信（如DGA域名生成）。
  • 协议特征：提取TLS握手中的JA3/JA3S指纹，通过余弦相似度匹配已知C2工具（如Cobalt Strike）特征。
  • 流量特征：统计HTTP POST请求的载荷长度标准差，结合SVM分类器识别数据外传行为。

1. 问：内存马在Linux系统中的驻留检测方案，需包含用户态和内核态检测技术
   答：

• • 用户态检测：遍历/proc//maps检查异常内存映射，使用YARA规则匹配反弹Shell代码特征。
  • 内核态检测：通过eBPF挂载kprobe监控execve系统调用，对无对应磁盘文件的可执行片段告警。
  • 行为关联：当检测到无父进程的bash实例时，关联网络连接记录验证是否为C2通道。

1. 问：如何设计符合GDPR的日志存储方案？需包含数据脱敏、访问控制、留存周期策略
   答：

• • 脱敏处理：对用户IP进行HMAC-SHA256哈希处理，保留固定盐值用于审计溯源。
  • 访问控制：基于RBAC模型限制日志访问权限，审计日志查询需触发MFA认证。
  • 留存策略：安全事件日志保留2年，网络流量元数据保留6个月，全量数据存储于冰川归档层。

1. 问：解释零信任架构在安全运营中的落地难点，给出3种过渡期兼容方案
   答：

• • 难点：传统VPN依赖架构改造困难，老旧系统无法支持SPIFFE身份认证。
  • 过渡方案：

1. 1. 1. 在VPN入口部署Zscaler代理，实施基于设备的初步信任评估
      2. 对遗留系统采用主机级证书+IP白名单的双因子认证
      3. 使用Envoy Sidecar代理逐步替换传统防火墙策略。