最近两个多月帮部门面了二十多个蓝队岗候选人从校招到3年经验的社招都有。最大的感受很直接背概念的人一抓一大把能上手写规则、坐下来判告警的人太少。护网常态化之后威胁狩猎成了安全岗最热门的方向薪资涨得快岗位缺口也大。但很多人准备面试还停留在背MITRE战术列表、背SIEM定义一到实操题直接卡壳。面试官随便甩一条SSH日志让写关联规则要么只写单条字符串匹配要么连时间窗口都不加做出来的规则上线一天告警几千条根本没法用。这篇整理了2026年春招到护网前最常考的50道真题全是互联网、国企、安全厂商的真实面试题覆盖SIEM规则编写、XDR告警研判、ATTCK映射、威胁狩猎、应急响应五大模块。每道题给了答题思路、可直接复用的代码连面试官的打分标准都标出来了。不管是找工作面试还是内部SOC团队培训都能用。蓝队面试从来不考概念背诵核心考察三个能力能不能把攻击行为翻译成可落地的检测规则、能不能快速研判告警真假并定位影响范围、能不能用标准化框架找到检测盲区。所有题目都围绕这三点展开背定义没用懂底层逻辑才能通关。一、SIEM规则编写实战15道SIEM的核心不是存日志是通过规则把隐藏在海量日志里的攻击行为捞出来。很多新手写规则有个通病只做单条日志匹配。这种规则写出来全是误报上线等于没上。1. 单条告警规则与关联规则的区别 SSH暴力破解规则编写这是蓝队一面必考题很多人答到“单条匹配单个事件关联匹配多个事件”就停了只能拿一半分。单条规则只匹配单一日志源的单个行为比如单次SSH登录失败。它的作用是做基础日志标记不能直接当告警用误报率极高。正常人输错密码也是登录失败总不能每次输错都告警。关联规则是多维度聚合加上时间窗口、统计阈值过滤正常行为。暴力破解的本质不是“登录失败”是“短时间内连续多次登录失败”这才是攻击行为。可直接复制的Splunk SPL版本indexlinux sourcetypesecure Failed password | stats count as fail_count by src_ip, user, _time span5m | where fail_count 10 | eval latest_time strftime(_time, %Y-%m-%d %H:%M:%S) | table src_ip, user, fail_count, latest_time | sort - fail_count逻辑5分钟窗口内同一个源IP针对同一个账号登录失败次数≥10次触发告警。评分要点满分10区分两类规则占3分可运行SPL占4分说明时间窗口与阈值设计逻辑占3分。只写关键词匹配直接扣5分。补充实战细节阈值不是拍脑袋定的。正常用户输错密码一般不会超过3次5分钟10次是行业通用值具体要根据公司业务调整。比如有统一身份认证的环境登录失败次数偏多阈值可以适当拉高。2. PowerShell Base64编码执行检测规则含误报过滤无文件攻击最常用的手段面试高频题核心考点是误报控制。攻击特征很明显powershell.exe带-enc或者-EncodedCommand参数命令行里有超长Base64字符串。但很多运维脚本也会用Base64加密配置直接匹配会产生大量误报。规则要加三层过滤正则匹配超长Base64串100字符以上才可疑、可信运维IP白名单、合法脚本路径白名单。SPL示例indexwindows sourcetypeXmlWinEventLog:Security EventCode4688 | search NewProcessName*\\powershell.exe | regex CommandLine(-enc|-EncodedCommand)\s[A-Za-z0-9/]{100,} | search NOT src_ip IN (192.168.1.10, 192.168.1.11) | search NOT NewProcessNameC:\\Program Files\\运维脚本\\* | table _time, host, SubjectUserName, CommandLine, NewProcessName对应MITRE ATTCKT1059.001PowerShell执行执行战术评分要点识别编码参数2分超长Base64正则3分白名单过滤逻辑2分子技术映射准确3分。3. 日志归一化的作用 Windows 4625登录失败归一化字段考SIEM底层逻辑很多人用了很久SIEM连归一化是什么都讲不清。异构日志的字段名全不一样Linux登录失败源IP叫src_ipWindows 4625里叫IpAddress防火墙里叫source。不归一化的话写跨日志源关联规则要适配N个字段根本没法维护。归一化就是把所有日志的核心字段统一命名不管什么日志源源IP都叫src_ip目标用户都叫target_user事件类型都叫event_type。这样写关联规则、做全局检索的时候直接用统一字段就行。Windows 4625登录失败核心归一化字段event_id: 4625event_type: login_failuresrc_ip: IpAddresstarget_user: TargetUserNamelogon_type: LogonTypefailure_reason: FailureReasonhost: ComputerName评分要点解释归一化价值4分字段列全6分。4. PsExec横向移动关联规则双日志源社招3年以上进阶题考多日志源关联能力。PsExec的原理是通过SMB连接目标主机上传服务远程执行。单看终端日志只能看到psexec.exe进程没法判断是不是横向。真正的关联规则要串两个日志源网络侧SMB连接日志 终端侧进程创建日志。逻辑1分钟内源主机向目标主机发起445端口SMB连接之后目标主机出现psexec.exe或者PSEXESVC.exe进程创建。SPL关联示例| join typeinner host, _time [ search indexnetwork dest_port445 | rename src_ip as source_host, dest_ip as host | fields source_host, host, _time ] [ search indexwindows EventCode4688 NewProcessName*\\psexec*.exe | fields host, NewProcessName, CommandLine, _time ] | bin _time span1m | stats values(source_host) as source_host, values(NewProcessName) as process by host, _time对应ATTCKT1021.002SMB远程服务横向移动战术评分要点双日志源关联5分识别PsExec进程特征3分ATTCK映射2分。只写单终端进程匹配最多拿3分。5. Webshell上传检测规则Web日志场景护网常考题针对Web访问日志的规则编写。很多人写规则只匹配后缀url里有.php就告警业务正常的PHP接口会产生海量误报。Webshell检测要同时满足两个条件请求方法为POST请求内容或URL参数包含恶意函数。常见恶意函数eval、assert、exec、system、base64_decode、CreateObject。Nginx日志SPL示例indexnginx request_methodPOST | regex request_uri \.(php|asp|aspx|jsp)$ | regex request_body (eval|assert|exec|system|base64_decode|CreateObject)\( | search NOT request_uri/admin/正常接口/* | table _time, src_ip, request_uri, status, request_body对应ATTCKT1505.003Web Shell持久化战术实战补充很多WAF会打码请求体SIEM拿不到完整内容。这时候可以结合响应码和响应大小判断陌生脚本文件首次访问返回200且响应体极小大概率是刚上传的webshell。6. 计划任务后门检测规则攻击者拿到权限后常用计划任务做持久化对应Windows事件ID 4698。正常计划任务有明确规律凌晨备份、定时监控、路径在Program Files下。恶意计划任务一般藏在Temp、AppData目录执行powershell或cmd触发时间随机。规则逻辑检测到计划任务创建执行程序路径包含Temp/AppData或执行powershell/cmd带远程下载参数则告警同时过滤运维常用的备份、监控任务。SPL示例indexwindows EventCode4698 | search TaskContent*Temp* OR TaskContent*AppData* OR TaskContent*powershell* OR TaskContent*cmd.exe* | search NOT TaskName*备份* AND NOT TaskName*监控* | table _time, host, TaskName, TaskContent, SubjectUserName对应ATTCKT1053.005计划任务持久化战术7. 日志清除行为检测规则攻击者入侵后第一步常删日志规避溯源对应命令wevtutil cl、PowerShell的Clear-EventLog。单条清除日志命令可能是运维操作必须加前置关联条件清除日志前1小时内主机出现过登录失败、凭证读取、异常进程等可疑行为才判定为高风险。SPL示例indexwindows EventCode4688 | regex CommandLinewevtutil\scl|Clear-EventLog | join typeleft host [ search indexwindows (EventCode4625 OR EventCode4663) _time relative_time(now(), -1h) | stats values(EventCode) as pre_event by host ] | table _time, host, CommandLine, pre_event对应ATTCKT1070.001日志清除防御规避战术8. 挖矿木马外联检测规则挖矿木马最明显的特征是高频解析矿池域名以及大量长连接出站。规则逻辑单台主机1小时内DNS解析矿池域名次数≥20次排除合法区块链业务服务器。可补充端口特征常见矿池端口3333、8899、14147大量出站长连接到这些端口也触发告警。SPL示例indexdns query IN (*pool.com, *mine.org, *f2pool.com, *antpool.com) | stats count as query_count by src_ip, query, _time span1h | where query_count 20 | search NOT src_ip IN (10.0.0.5, 10.0.0.6) | table src_ip, query, query_count对应ATTCKT1041命令与控制通信9. SIEM规则误报过多的优化手段开放题直接筛选有没有实际运营经验。加维度白名单可信IP、业务账号、合法进程路径、服务器主机名能过滤80%基础误报。做行为基线学习业务正常的访问时段、频次、端口偏离基线再告警。比如业务服务器白天流量大正常凌晨突然大量外联就可疑。多事件关联单一行为不告警两个以上可疑行为组合才触发。比如单次PowerShell编码不可疑加上外联陌生IP就告警。动态阈值业务高峰和低谷用不同阈值上班时间登录失败阈值拉高凌晨阈值降低。情报联动匹配高置信恶意IOC的告警升级纯行为异常的降低等级。过滤无效日志测试环境、蜜罐、自动化巡检的日志直接排除不进规则引擎。至少答出5条才算合格提到基线和关联分析加分。10. 威胁情报与SIEM规则的联动方案考体系化能力不是单条规则的写法。完整流程定时拉取威胁情报库把恶意IP、域名、文件哈希存到SIEM的lookup查找表按置信度分级。全局流量、DNS、终端日志左联lookup表匹配到高置信IOC直接生成高等级告警。告警触发后联动SOAR自动下发防火墙封禁指令无需人工介入。定期清理过期情报一般IOC有效期7到30天过期从lookup中删除避免误拦。只说“匹配情报”没提生命周期管理和分级拿不到满分。11. 规则分级标准低/中/高/严重护网里规则必须分级不然告警全堆在一起根本处置不过来。低危单条异常日志无扩散风险。比如单次端口扫描、单条登录失败。只记录不推送告警。中危可疑行为无明确恶意IOC未造成实质影响。比如单次PowerShell编码执行、少量外部IP访问管理端口。需要人工核查不用优先处置。高危多事件关联的可疑行为大概率为真实攻击。比如暴力破解成功、内网横向尝试、访问已知C2域名。必须立即处置。严重确认入侵成功或业务已受影响。比如勒索加密、域控异常操作、大量数据外发。需马上启动应急响应。12. 狩猎查询Hunt Query与实时告警规则的区别很多人分不清面试常考概念辨析。实时告警规则7*24小时运行命中条件立刻推告警用来检测已知攻击。特点是阈值明确、逻辑固定、误报可控。狩猎查询按需运行离线检索历史日志寻找无规则覆盖的隐蔽威胁。没有固定阈值也不实时推送用来主动发现未知攻击。比如你假设攻击者用了某种新LOLBAS工具写查询去历史日志里搜有没有人用过这就是狩猎。简单说告警侧重IOC狩猎侧重IOA。13. 规则上线前的完整测试流程直接筛掉没实际落地经验的候选人。规则不是写好就直接上线必须走测试流程不然误报炸了没人扛得住。离线回放历史日志拿过去7天日志跑规则统计告警量和误报率太高就调阈值、加白名单。样本验证导入已知攻击样本日志验证规则命中情况排查漏报。业务高峰测试用工作日早高峰、月底结算期的日志跑确认业务高峰期无大量误报。灰度上线先在小部分资产上跑24小时观测告警量没问题再逐步扩大范围。全量发布同步更新规则文档标注规则ID、对应ATTCK、误报处理方法。少了离线测试和灰度上线说明没有真正运营过SIEM。14. KRBTGT账户异常登录检测域环境进阶题考Kerberos协议与域渗透认知。KRBTGT是域控服务账号正常情况下只有域控自己用它做票据同步其他主机登录这个账号一定有问题大概率是制作黄金票据。规则逻辑登录账号为KRBTGT登录源不是域控IP或登录时间在凌晨非运维时段触发告警。SPL示例indexwindows EventCode4624 TargetUserNameKRBTGT | search NOT IpAddress IN (192.168.1.2, 192.168.1.3) | search NOT _time 08:00:00 AND _time 20:00:00 | table _time, IpAddress, TargetUserName, LogonType对应ATTCKT1003.003Kerberos票据窃取黄金票据前置行为15. 多源日志关联规则的设计思路二面/终面大题考复杂规则设计能力。核心思路是按攻击链串联不是随便拼接两个日志。所有日志先做归一化统一src、dst、时间戳、事件类型等核心字段。对齐时间窗口一般±30秒不同日志源时间可能有偏差不能卡太死。按攻击阶段分层第一层外网入站流量防火墙第二层终端恶意进程EDR第三层系统凭证操作Windows日志。三层日志同时命中才触发高危告警只有一层命中则降级处理。这样做出来的关联规则误报率极低攻击者很难同时在三层都伪装成正常行为。二、XDR告警研判实操15道很多人以为XDR是高级版EDR其实完全不是。EDR只管终端SIEM只管日志XDR把终端、网络、云、邮件、身份的数据全打通自动拼接攻击链不用人工跨十几个平台查日志。护网场景下XDR能把研判时间从几小时压缩到几分钟。16. XDR对比EDR、SIEM的核心优势XDR模块开篇题考工具定位理解。两个核心优势不用扯冗余概念第一是全链路数据融合。EDR只能看到终端进程看不到网络流量和邮件入口SIEM只能看到日志看不到进程注入、内存操作等终端细节。XDR打通所有数据一个告警就能呈现从钓鱼邮件点击、进程执行、凭证窃取到横向移动的完整路径。第二是自动攻击链拼接。以前研判告警要自己去EDR查进程、去防火墙查流量、去邮件网关查附件。XDR按时间和资产自动串联所有行为打开告警直接看到完整入侵过程不用到处找日志。护网中的价值很直接同样人手用XDR一天处置的告警量是纯SIEM的三倍以上。17. 告警研判notepad.exe注入sqlserver.exe的完整处置流程最经典的进程注入研判题考完整应急处置思路。别上来就说隔离主机先核验真假。告警核验查看进程树notepad的父进程是否正常正常应为explorer.exe注入的内存模块是否有签名、是否为未知哈希、是否匹配恶意文件情报。真伪判定正常记事本不会主动注入数据库进程确认真阳性。遏制先隔离这台数据库服务器断开内网横向连接同时阻断出站C2流量防止攻击者继续操作或扩散。业务场景下要先切备用节点不能直接断业务网。取证导出进程dump、内存镜像、系统日志、XDR进程树记录留作溯源证据。根除删除恶意注入模块排查注册表、计划任务、启动项后门重置数据库所有高权限账号密码。恢复修复对应漏洞全盘查杀确认无残留逐步恢复业务。复盘将攻击特征补充到SIEM和XDR检测规则补全检测盲区。对应ATTCKT1055进程注入评分要点遵循完整处置流程结合业务场景给出隔离方案。只说隔离主机拿不到高分。18. 大量低危告警造成告警疲劳降噪方案SOC运营核心痛点面试必问。很多人只会说“加白名单”太浅了落地方法有这些资产分级。核心业务服务器的告警全部保留办公终端的扫描类、低危异常直接降级甚至不推送。办公终端一天几十个低危告警很正常全推给分析师根本看不过来。同主机同类告警聚合。同一个主机一小时内出现10次同类型低危告警合并成一条不重复推送。行为基线。给每台主机建立正常行为基线偏离基线的告警才推送。开发机天天跑PowerShell脚本就别每次告警服务器平时不用PowerShell一用就告警。情报加权。匹配高置信恶意IOC的告警直接升级纯行为异常、无情报匹配的降低等级。自动过滤测试机、运维工作站的低危告警。这些机器操作本来就杂低危告警直接忽略。核心原则把分析师精力留给高危告警不要被低危噪声耗死。19. Mimikatz凭证抓取告警的研判与横向风险预判出现Mimikatz告警基本意味着入侵者已拿到本地管理员权限下一步大概率横向。研判步骤先查Mimikatz的执行路径、命令行参数、执行账号。确认是抓本地哈希还是域票据有没有抓取KRBTGT哈希。再查这台主机的后续行为有没有发起SMB、WMI、RDP连接到内网其他主机有没有PsExec、wmiexec等横向工具进程。最后查域控登录日志看有没有用抓取到的账号登录域控。处置动作立刻重置该主机本地管理员密码所有域管理员账号同步修改阻断445、3389等常用横向端口防止扩散。对应ATTCKT1003.001LSASS内存凭证转储评分要点预判横向移动风险给出账号重置处置方案。只盯着单台主机查Mimikatz说明没有全局思维蓝队最忌讳只看单点告警。20. 真阳性、误报、噪声告警的区分标准考研判底层逻辑很多人做了很久运营都分不清楚。用例子说明最直观真阳性有完整攻击链有明确恶意结果。比如PowerShell编码执行后跟着外联恶意C2再出现凭证读取。行为连贯、目的明确就是真实攻击。误报行为匹配规则但无恶意目的。比如运维自动化脚本用Base64加密配置命令行匹配编码规则但脚本合法、行为是正常运维操作。噪声只有单点探测无后续动作不会造成影响。比如互联网批量端口扫描扫到服务器但无后续渗透尝试就是噪声。研判核心标准这个行为有没有攻击意图有没有造成实质风险。21. 无文件攻击LOLBAS告警研判思路 常见工具无文件攻击是当前主流护网红队基本都用面试必考。LOLBAS就是用系统自带工具发起攻击无需上传恶意文件传统杀毒软件很难检测。常见工具rundll32、mshta、regsvr32、certutil、bitsadmin、wmic、msiexec。全是Windows自带有合法签名。研判思路别只看工具本身这些工具正常运维也会用。要看它加载的对象。比如rundll32加载本地系统dll很正常加载远程URL的dll或者Temp目录下的无名dll一定是恶意的。再看父子进程关系。mshta的正常父进程是浏览器或explorer如果父进程是PowerShell或cmd还带远程URL参数基本就是钓鱼执行载荷。对应ATTCKT1218签名二进制代理执行至少说出5个LOLBAS工具才算合格能讲清研判逻辑加分。22. 云XDR告警EC2实例异常大量出站流量至境外IP云主机普及后这类题越来越多。别只查终端云环境要结合云审计日志。调取CloudTrail日志确认实例创建者、近期登录IP、安全组变更记录。查看XDR终端进程排查挖矿程序、勒索进程、陌生后台服务。核查DNS日志确认是否解析矿池、C2域名判断是否失陷。临时阻断在安全组和网络ACL中禁止出站到境外IP不要直接关实例避免丢失证据。快照取证后用干净镜像重建实例迁移业务。云环境研判的核心是结合云原生日志不能只盯着终端。23. 同一账号多地异地登录区分正常VPN与账号泄露很多人只会看IP地理位置太片面。要交叉验证四个维度设备指纹是否为员工常用终端是否安装企业安全客户端系统、浏览器指纹是否匹配。登录方式通过企业合规VPN登录还是直接RDP/SSH直连或是使用陌生远程工具。后续行为登录后是否批量读取文件、抓取凭证、创建账号、修改配置。正常员工登录是处理工作不会一上来就遍历文件。情报匹配登录IP是否为代理IP、Tor节点、已知攻击IP。两个以上维度异常基本判定为账号泄露。确认后立即锁定账号强制修改密码并开启MFA。对应ATTCKT1078.003被盗账号24. 护网批量告警的优先级排序方法护网一天几千条告警很正常优先级排错了高危的没处理低危的忙一天直接出大事。排序规则按权重从高到低第一看资产重要性。域控、核心数据库、业务主服务器的告警永远优先办公终端告警往后排。第二看攻击阶段。越靠后的攻击阶段越危险凭证窃取、横向移动、数据加密 初始访问、端口扫描、单次异常进程。已经进入内网的攻击比外部扫描危险100倍。第三看告警关联。同一主机同时触发多条不同类型告警、形成攻击链的优先处置。单条孤立告警可以缓一缓。第四看情报匹配。命中高置信恶意IOC的告警优先纯行为异常的往后放。按这个规则筛选先处理最危险的不要按告警时间顺序逐条看。25. XDR检测计划任务后门与SIEM研判的区别考不同工具的能力边界理解。SIEM只能拿到计划任务创建日志知道有人建了任务但任务执行了什么、有没有后续行为SIEM看不到。得自己去查进程日志、流量日志拼接起来才能判断是不是后门。XDR不一样点开计划任务告警直接能看到任务触发后的所有行为执行了什么进程、有没有外联、有没有读写敏感文件、有没有后续横向。整个链路是串好的不用自己到处查。简单说SIEM告诉你“发生了一件事”XDR告诉你“这件事之后发生了什么造成了什么影响”。26. 勒索病毒告警的识别特征与应急阻断动作护网最高危事件之一处置慢了整个部门都要背锅。三个核心识别特征文件系统大量文件被批量重命名出现统一加密后缀如.lockbit、.conti、.360。进程层面进程批量遍历读取文档、图片、数据库文件CPU和磁盘IO突然拉满。网络层面大量SMB扫描内网其他主机尝试横向传播同时外联勒索C2服务器。应急阻断动作要快别犹豫立刻隔离受感染主机XDR一键隔离或物理断网防止横向扩散。全局阻断内网445、139端口禁止SMB共享访问切断传播路径。断开受感染网段外网连接防止勒索软件继续下载模块。备份未加密的核心数据避免进一步加密损失。对应ATTCKT1486数据加密勒索评分要点说出横向传播阻断动作。很多人只知道隔离单台主机不知道封端口一不留神整个内网中招。27. WMI异常远程执行告警的横向路径研判WMI是当前红队最常用的横向工具比PsExec隐蔽日志更少。研判要溯源整条链路先定位WMI执行的源主机、使用账号、执行命令。再看目标主机在WMI执行后是否创建新进程、是否外联流量、是否下载文件。然后排查同网段甚至整个域内的其他主机有没有同源IP发起的WMI连接统计攻击者已横向的范围。最后处置封禁源主机重置所有涉及账号密码全网扫描WMI异常登录。对应ATTCKT1047Windows管理规范28. XDR自动攻击链Attack Graph的作用很多人用XDR只看单条告警浪费了最核心的功能。自动攻击链是XDR根据时间、资产、账号自动把同一攻击者的所有行为串联起来从初始入口到执行、提权、横向、C2按时间线完整排布。研判时的价值快速定位入侵入口不用自己倒推攻击链直接标注第一步是钓鱼邮件还是漏洞利用。快速确定受影响范围攻击链列出所有被入侵主机、被盗账号不用逐台排查。快速判断攻击意图看攻击链进展到哪一步决定处置优先级。护网场景下这个功能最实用以前溯源一次要几小时现在几分钟就能理清全貌。29. LOLBAS工具告警的误报优化方案LOLBAS规则最容易误报因为正常运维天天用这些工具。优化思路不是关规则是加约束条件路径约束工具加载系统目录、正规程序目录的文件放行Temp、AppData、下载目录的文件触发告警。来源约束加载本地文件放宽加载远程URL、网络共享文件直接告警。频次约束单次执行放行一小时内多次异常调用、批量主机同时调用则升级告警。资产约束业务服务器严格管控LOLBAS外联外网直接告警办公终端和开发机适当放宽。核心就是只给正常使用场景放行异常场景一个不放过。30. 终端XDR与网络XDR告警冲突的排查方法比如网络侧告警主机外联恶意IP但终端XDR没查到任何异常进程。这种情况很常见也最考验能力。别直接判定网络误报很多隐性威胁终端层面看不到。先抓网络包确认通信端口、载荷、时长。短时间UDP包可能是扫描长连接持续传数据一定有问题。查终端DNS缓存、计划任务、系统服务、驱动程序。很多定时外联的后门平时不启动到点才运行查的时候刚好没跑终端XDR就看不到。查浏览器插件、扩展程序。很多恶意流量由浏览器插件发起不在系统进程监控范围内。抓内存镜像深度分析。驱动级后门、rootkit会hook系统调用篡改终端XDR的进程列表内存分析才能查出真实进程。这道题答得好直接能拉开和普通分析师的差距。三、MITRE ATTCK映射实战10道很多人觉得ATTCK就是用来背的面试列战术列表就行。其实ATTCK是蓝队的标准化语言用来给检测规则打标、做能力差距分析、输出标准化攻击报告。31. ATTCK企业矩阵的14大战术基础题校招必问。初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响、预攻击、资源开发。14个不能错错一个扣一分。32. 钓鱼宏文档攻击的完整ATTCK映射考完整攻击步骤的映射能力不是单个行为。初始访问T1566.001 鱼叉式钓鱼附件执行T1059.005 办公宏防御规避T1562.001 禁用安全防护宏执行后通常会先关闭防火墙、杀毒软件只写一个执行战术拿不到满分攻击走了几步就要映射几步。33. LSASS转储→PtH→PsExec横向域控的逐步骤映射最经典的域渗透攻击链面试高频题。凭证访问T1003.001 LSASS内存凭证转储凭证访问T1550.002 Pass-the-Hash哈希传递发现T1087.002 域账户发现横向移动T1021.002 SMB远程服务PsExec每一步都要对应子技术ID不能只写大技术ID。比如不能只写T1003要写T1003.001才算精准映射。34. Gap分析的定义与落地方法Gap分析就是差距分析把现有检测能力和ATTCK矩阵比对找出没有检测覆盖的攻击技术也就是检测盲区。落地步骤给所有SIEM规则、XDR告警、狩猎查询打上ATTCK标签每条规则对应一个或多个技术ID。用ATTCK Navigator生成热力图覆盖到的技术标色未覆盖的留白。按威胁优先级补盲区。域环境优先补黄金票据、哈希传递这类高频攻击技术冷门技术往后排。每次护网、演练后更新热力图迭代优化。只说“找差距”说不出具体工具和步骤说明没有落地过。35. 黄金票据攻击的完整ATTCK映射域环境进阶题考域渗透理解。凭证访问T1003.003 Kerberos票据窃取盗取KRBTGT哈希防御规避T1550.003 伪造Kerberos票据黄金票据本身权限提升利用伪造票据获取域管理员权限持久化KRBTGT密码不改则票据长期有效攻击者可随时回访横向移动用票据访问域内任意主机黄金票据横跨多个战术不属于单一凭证访问阶段。36. 挖矿木马的ATTCK映射简单题但很多人漏项。执行T1059.001 PowerShell执行挖矿程序持久化T1053.005 计划任务保活命令与控制T1041 与矿池通信接收任务、上报算力影响T1490 系统资源耗尽占满CPU与带宽不要只写C2持久化和影响都要覆盖。37. ATTCK融入SIEM规则体系的方法与价值考体系化落地能力。落地方式很简单每条规则新增mitre_tactic、mitre_technique两个字段告警触发时自动携带ATTCK标签。狩猎查询也按技术分类。三个实际价值统一团队语言。分析师交流直接说T1055不用解释半天“进程注入的那个攻击”效率高很多。快速做Gap分析。按标签统计覆盖情况找盲区一目了然。护网报告标准化。给甲方、领导的攻击报告按ATTCK战术列专业度直接提升。38. ATTCK与杀伤链Kill Chain的区别概念辨析题很多人容易混。杀伤链是洛克希德马丁提出的分7步线性结构从侦察到交付到利用按顺序推进。适合描述外部入侵完整流程但对内网横向、持久化等阶段覆盖不足。ATTCK是MITRE推出的按战术分类非线性结构攻击者可以跳步执行。比如拿到权限后可以先持久化也可以先抓凭证还可以先横向顺序不固定。更贴合内网攻击的实际情况。目前行业内基本通用ATTCK杀伤链使用场景越来越少。39. 如何用ATTCK指导威胁狩猎狩猎不能瞎搜ATTCK就是方向清单。比如你要做横向移动方向的狩猎就去ATTCK里找横向移动战术下的所有技术PsExec、WMI、RDP、SMB共享逐个写狩猎查询去历史日志里检索。不用自己凭空想攻击者会用什么方法ATTCK已经把已知TTP都列好了照着补检测就行。40. APT29常用攻击手法对应的ATTCK技术拓展题看平时是否关注威胁情报。APT29钴熊常用手法对应初始访问T1566.001 钓鱼附件执行T1059.005 宏、T1218.005 Mshta持久化T1053.005 计划任务凭证访问T1003.001 LSASS转储防御规避T1027 混淆文件、T1218 系统二进制代理执行不用死记了解主流威胁组织的常用手法面试说出来很加分。四、威胁狩猎与应急响应综合题10道威胁狩猎是高阶能力社招3年以上、护网核心岗基本都会考。41. 假设驱动的威胁狩猎定义与实例狩猎的核心概念必考题。假设驱动就是先假设攻击者会用某种手法攻击你的环境然后主动去日志里查找对应行为验证假设是否成立。举个例子你假设攻击者会用certutil下载恶意文件就写查询检索过去30天所有主机的certutil执行日志筛选带URL参数的条目逐一核查。和告警的区别告警是规则告诉你有问题狩猎是你主动找问题挖掘规则未覆盖的威胁。42. IOC与IOA的区别狩猎中的用法IOC是失陷指标比如恶意IP、域名、文件哈希。静态特征攻击者换个文件就失效。IOA是行为指标比如进程注入、凭证读取、远程下载。关注行为本身不管用什么工具只要做了这个动作就算。狩猎里主要用IOA。隐蔽攻击一般没有已知IOC靠IOC搜不到。比如新的勒索病毒哈希还没进情报库IOC匹配不到但它加密文件的行为属于IOA可以被检索到。43. 护网内网出现未知IP横向的完整狩猎流程实战大题考完整狩猎思路。定边界。确认未知IP出现的网段、扫描的端口、访问的主机范围。找入口。追溯该IP最早出现时间对应源IP、入口主机定位最初被攻陷的机器。查行为。确认该IP的操作是端口扫描、尝试登录还是已成功执行命令。扩范围。排查整个内网是否存在其他类似未知IP是否有其他主机被横向。定处置。封禁IP隔离受感染主机补充检测规则防止再次入侵。44. Webshell入侵后的应急响应步骤经典应急响应题必考。隔离处置。将被入侵Web服务器从业务链路摘除或先封禁webshell访问IP防止攻击者继续操作。清理后门。用扫描工具遍历网站目录结合Web日志定位上传点和webshell路径删除所有后门文件。定位入口。排查入侵路径文件上传漏洞、后台弱口令、SQL注入等修复对应漏洞。横向排查。检查服务器是否被当作跳板攻击内网其他主机是否有凭证抓取、账号创建行为。持久化排查。检查计划任务、启动项、隐藏账号防止删除webshell后攻击者仍可进入。业务恢复。加固服务器更新检测规则逐步恢复业务。45. 域环境入侵的溯源核心思路域环境入侵是最难的场景也是高阶岗必考题。溯源从后往前推先查域控的异常操作确认攻击者在域控上的行为和使用的账号。再找到横向到域控的源主机排查该主机上的攻击行为和横向手法。一步步往前倒推找到第一台被攻陷的主机定位初始入侵入口是钓鱼还是漏洞。同时统计所有受影响的主机和账号评估整体入侵范围。46. 威胁狩猎的核心输出物很多人以为狩猎完就结束了其实狩猎必须落地成产出。核心输出物有三类狩猎报告写清假设、验证过程、发现的问题、影响范围。新增检测规则把新发现的攻击手法写成SIEM/XDR规则实现后续自动检测。威胁情报更新将新发现的IOC、TTP更新到内部情报库。狩猎的最终目的是提升整体检测能力不是单次抓攻击。47. 蓝队与红队的思维差异开放题考察岗位理解。红队思维是找单点突破想办法绕开防护、打进内网、拿到权限。只要有一个点突破就算赢。蓝队思维是做全面防御要覆盖尽可能多的攻击手法只要有一个地方没防住、被打进来就算输。蓝队必须站在攻击者角度思考“如果我是红队我会从哪进来”再针对性补防护。简单说红队找破绽蓝队补短板。48. 判断攻击者是否仍驻留系统的方法研判中经常遇到的实际问题。看四个核心点是否存在活跃C2连接当前是否有长连接指向陌生境外IP。是否有可疑后台进程、计划任务在运行是否定时执行恶意指令。是否有新增账号登录是否存在非运维时段的登录行为。是否持续出现新的文件上传、进程创建等恶意行为。以上都没有的话大概率攻击者已经离开或留了后门但未激活。但只要后门存在就随时可能回访必须彻底清除。49. 威胁情报在狩猎中的作用情报不是只用来匹配告警狩猎里用处很大。提供狩猎方向。比如近期新出某个勒索家族情报披露了常用手法就可以针对该手法开展狩猎提前排查是否中招。丰富研判上下文。狩猎到可疑行为去情报库比对对应IP、域名、哈希确认是否为已知攻击降低研判成本。预测攻击趋势。根据情报掌握近期流行的攻击手法提前补充对应检测规则防患于未然。50. 蓝队分析师提升威胁狩猎能力的方法终面常见开放题。说落地方向别喊空口号多练手。拿公开攻击样本日志、攻防演练日志自己写查询反复练习练多了就有敏感度。懂攻击。不学红队手法做不好蓝队得知道攻击者怎么干活才能知道怎么找他。可以多打靶场、复现漏洞。熟业务。不懂业务就分不清正常和异常运维正常操作和攻击行为看起来很像熟悉业务才能精准判断。勤沉淀。每次狩猎、每次应急都记录手法更新到规则库能力慢慢就上来了。没有标准答案逻辑清晰贴合实际就加分。以上50道题覆盖了蓝队从入门到高阶的所有核心考点面试前过一遍比背一周概念有用得多。蓝队是实操岗最终看的是解决问题的能力。规则写得再漂亮误报压不下去就是没用告警判得再快漏了高危攻击就是失职。最后留两个问题你面试蓝队的时候遇到过最刁钻的实操题是什么评论区发出来我补到题库里。需要完整Sigma规则包和ATTCK映射模板的可以评论区扣1后续整理好发出来。