【面试笔记】SOC面试常见问题与回答
作者:Sec-Labs | 发布时间:
SOC面试问题
原项目地址https://github.com/LetsDefend/SOC-Interview-Questions
目录
你应该期待什么?
以下是面试中可以提出问题的主题列表。
安全分析师
- 基本术语
- 网络基础
- 操作系统基础
- 恶意软件分析基础
- 如何分析攻击(网络钓鱼、恶意软件…)
事件响应者
- 事件响应程序
- 如何检测和修复特定类型的攻击(如金票、网络钓鱼等)
- 勒索软件修复过程
前期准备
- 首先,充分了解自己申请的是什么职位。 就像如果您正在申请安全分析师(Tier 1 Analyst)工作,那么您应该已经知道安全分析师做什么或SOC分析师遇到什么困难。
- 确保您了解您申请的公司。 您是要同时为多家公司提供支持,还是他们正在寻找内部 SOC?
- 如果你有朋友在你申请的公司工作,打个电话问问你的朋友遇到了什么困难。
- 不要在面试时告诉你的薪水期望。 回答如下:“我认为我的薪水期望在您的范围内。如果取得积极进展,我愿意在提案阶段听取您的建议。”
- 确保你知道你申请的工作的薪水等级。 你可以在 Reddit 上问。
一般的
您如何让自己了解信息安全?
- 阅读来自不同资源的每日信息安全新闻。
- 通过关注与信息安全相关的社交媒体帐户。
- 电报频道
- 加入与网络安全相关的时事通讯
什么是黑帽、白帽和灰帽?
Blat hat: 黑帽黑客是那些未经所有者许可进入系统的黑客。 这些黑客利用漏洞作为切入点。 他们非法侵入系统。 他们用他们的技能来欺骗和伤害人们。 ( GeeksforGeeks )
白帽: 白帽黑客也被称为道德黑客。 他们是经过认证的黑客,从课程中学习黑客技术。 这些是试图保护我们的数据和网站的优秀黑客。 随着网络攻击的兴起,组织和政府已经开始明白他们需要有道德的黑客。 ( GeeksforGeeks )
灰帽: 灰帽黑客是黑帽黑客和白帽黑客的混合体。 这些类型的黑客在未经所有者许可的情况下发现系统中的漏洞。 他们没有任何恶意。 但是,这种类型的黑客攻击仍然被认为是非法的。 但他们从不与黑帽黑客分享信息。 他们发现问题并报告所有者,有时会要求少量资金来修复它。 ( GeeksforGeeks )
什么是端口扫描?
端口扫描是一种确定网络上哪些端口打开并且可以接收或发送数据的方法。 它也是一个将数据包发送到主机上的特定端口并分析响应以识别漏洞的过程。 ( 阿瓦斯特 )
你知道任何编程语言吗?
虽然这个问题取决于你,但对编程语言有基本的了解可能是面试的一个加分项。
您如何基本定义蓝队和红队?
红队是进攻方,蓝队是防守方。
什么是防火墙?
防火墙是根据规则允许或阻止网络流量的设备。
解释安全配置错误
它是由不完整或不正确的配置错误引起的安全漏洞。
解释脆弱性、风险和威胁。
漏洞: 信息系统、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点。 (来源: NIST )
风险: 考虑到威胁的潜在影响和威胁发生的可能性,信息系统运行对机构运营(包括任务职能、形象或声誉)、机构资产或个人的影响程度。 (来源: NIST )
威胁: 任何可能通过未经授权的访问、破坏、披露、修改信息和/或拒绝服务通过系统对组织运营、组织资产、个人、其他组织或国家产生不利影响的情况或事件。 (来源: NIST )
什么是合规?
遵循组织、独立部门或政府授权的标准集。
什么是 MITRE ATT&CK?
MITRE ATT&CK® 是一个全球可访问的基于真实世界观察的对手战术和技术知识库。 ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。 ( MITRE ATT&CK )
你有什么项目可以看吗?
如果您确实有任何项目要展示,请确保在面试前做好准备。
解释 2FA。
2FA 是一个额外的安全层,用于确保试图访问在线帐户的人是他们所说的人。 首先,用户将输入他们的用户名和密码。 然后,他们将被要求提供另一条信息,而不是立即获得访问权限。 ( 权威 )
您能否分享一些通用的端点安全产品类别?
- 杀毒软件
- EDR
- XDR
- DLP
什么是 HIDS 和 NIDS?
HIDS: HIDS 表示主机入侵检测系统。 HIDS 位于每台主机上。
NIDS: NIDS 表示网络入侵检测系统。 NIDS 位于网络中。
什么是中情局三合会?
“CIA triad”中的三个字母代表机密性、完整性和可用性。 CIA 三元组是构成安全系统开发基础的通用模型。 它们用于查找漏洞和创建解决方案的方法。 ( 福提尼 )
机密性: 机密性涉及组织为确保数据保密或保密而做出的努力。 维护机密性的一个关键组成部分是确保防止未经适当授权的人访问对您的业务重要的资产。
完整性: 完整性涉及确保您的数据值得信赖且不受篡改。 只有在数据真实、准确和可靠的情况下,才能维护数据的完整性。
可用性: 系统、网络和应用程序必须按应有的方式以及在应有的时间运行。 此外,有权访问特定信息的个人必须能够在需要时使用它,并且获取数据不应该花费过多的时间。
什么是AAA?
身份验证: 身份验证涉及用户提供有关他们是谁的信息。 用户出示登录凭据,确认他们是他们声称的人。 ( 福提尼 )
授权: 授权遵循认证。 在授权期间,可以授予用户访问网络或系统某些区域的权限。 ( 福提尼 )
记帐: 记帐通过跟踪诸如登录时长、发送或接收的数据、互联网协议 (IP) 地址、统一资源标识符 (URI) 等信息来跟踪用户登录网络时的用户活动他们使用的,以及他们访问的不同服务。 ( 福提尼 )
什么是网络杀伤链?
Cyber Kill Chain® 框架 由 Lockheed Martin 开发, 是 Intelligence Driven Defense® 模型的一部分,用于识别和预防网络入侵活动。 该模型确定了对手必须完成什么才能实现其目标。
Cyber Kill Chain® 的七个步骤提高了对攻击的可见性,并丰富了分析师对对手战术、技术和程序的理解。 ( 洛克希德马丁公司 )
什么是 SIEM?
安全信息和事件管理 (SIEM) 是一种安全解决方案,可提供环境中事件的实时记录。 事件记录的实际目的是检测安全威胁。
通常,SIEM 产品具有许多功能。 作为 SOC 分析师,我们最感兴趣的是:他们过滤收集的数据并为任何可疑事件创建警报。 ( 让我们保卫 )
什么是妥协指标 (IOC)?
入侵指标 (IOC) 可作为主机系统或网络潜在入侵的取证证据。 这些工件使信息安全 (InfoSec) 专业人员和系统管理员能够检测入侵企图或其他恶意活动。 安全研究人员使用 IOC 更好地分析特定恶意软件的技术和行为。 IOC 还提供可在社区内共享的可操作威胁情报,以进一步改进组织的事件响应和补救策略。 ( 趋势科技 )
什么是攻击指标 (IOA)?
攻击指标 (IOA) 展示了网络攻击背后的意图以及威胁行为者为实现其目标而使用的技术。 在分析 IOA 时,引发攻击的特定网络威胁(如恶意软件、勒索软件或高级威胁)并不重要。 ( 上卫 )
解释真阳性和假阳性。
真阳性:
如果要检测的情况和检测到的(触发警报)情况相同,则为真阳性警报。 例如,假设您进行了一次 PCR 测试,以确定您是否是 Covid19 阳性,并且测试结果呈阳性。 这是真阳性,因为您要检测的情况(您是否患有 Covid19 疾病)和检测到的情况(是否是 Covid19 患者)是相同的。 这是一个真正的积极警报。 ( 让我们保卫 )
假设有一个检测 SQL 注入攻击的规则,并且由于对以下 URL 的请求而触发了该规则。 该警报确实是“真阳性”,因为存在真正的 SQL 注入攻击。
https://app.letsdefend.io/casemanagement/casedetail/115/src= '或1=1
假阳性:
简而言之,这是一场虚惊。 例如,你的房子里有一个安全摄像头,如果摄像头因为你的猫的动作而提醒你,那就是误报警报。 ( 让我们保卫 )
如果我们查看下面的 URL 示例,我们会在该 URL 中看到 SQL 参数“Union”关键字。 如果此 URL 发生 SQL 注入警报,则将是误报警报,因为此处使用“Union”关键字来提及运动队,而不是用于 SQL 注入攻击。
网络
什么是 OSI 模型? 解释每一层。
开放系统互连模型 ( OSI 模型 )是一个概念模型,它描述了电信系统或计算系统的 通信功能的通用标准,而不考虑系统的底层内部技术和特定协议套件。 ( 维基百科 )
- 物理层: 物理层负责在设备(如网络接口控制器、以太网集线器或网络交换机)与物理传输介质之间传输和接收非结构化原始数据。 它将数字位转换为电、无线电或光信号。
- 数据链路层: 数据链路层提供节点到节点的数据传输——两个直接连接的节点之间的链接。 它检测并可能纠正物理层中可能发生的错误。 它定义了在两个物理连接的设备之间建立和终止连接的协议。 它还定义了它们之间的流量控制协议。 IEEE 802 将数据链路层分为两个子层: a. 媒体访问控制 (MAC) 层——负责控制网络中的设备如何获得对媒体的访问权限以及传输数据的权限。 湾。 逻辑链路控制 (LLC)层——负责识别和封装网络层协议,控制错误检查和帧同步。
- 网络层: 网络层提供了将数据包从一个节点传输到连接在“不同网络”中的另一个节点的功能和程序手段。
- 传输层: 传输层提供功能性和程序性手段,将可变长度数据序列从源主机传输到目标主机,从一个应用程序通过网络传输到另一个应用程序,同时保持服务质量功能。 传输协议可以是面向连接的或无连接的。
- 会话层: 会话层在两台或多台计算机之间创建设置、控制连接并结束拆卸,这称为“会话”。 由于 DNS 和其他名称解析协议在该层中运行,因此会话层的常用功能包括用户登录(建立)、名称查找(管理)和用户注销(终止)功能。 包括这件事,大多数客户端软件中也内置了身份验证协议,例如 Microsoft Networks 的 FTP Client 和 NFS Client。 因此,会话层建立、管理和终止本地和远程应用程序之间的连接。
- 表示层: 表示层在传出消息的封装过程中建立数据格式化和数据转换为应用层指定的格式,同时向下传递协议栈,并可能在传入消息的解封装过程中在向上传递协议栈时反转. 正是由于这个原因,封装期间的传出消息被转换为应用层指定的格式,而解封装期间传入消息的对话则相反。
- 应用层: 应用层是 OSI 模型中最接近最终用户的层,这意味着 OSI 应用层和用户都直接与实现客户端和服务器之间通信组件的软件应用程序交互,例如文件资源管理器和 Microsoft Word。 此类应用程序不属于 OSI 模型的范围,除非它们通过通信功能直接集成到应用程序层中,例如 Web 浏览器和电子邮件程序等应用程序。 其他软件示例包括用于文件和打印机共享的 Microsoft 网络软件和用于访问共享文件资源的 Unix/Linux 网络文件系统客户端。
什么是三向握手?
TCP 使用三次握手来建立可靠的连接。 连接是全双工的,双方相互同步(SYN)和确认(ACK)。
客户端选择一个初始序列号,在第一个 SYN 数据包中设置。 服务器还选择自己的初始序列号,在 SYN/ACK 数据包中设置。
每一方通过递增来确认对方的序列号; 这是确认号码。 序列号和确认号的使用允许双方检测丢失或乱序的段。
建立连接后,通常会针对每个分段进行 ACK。 连接最终将以 RST(重置或断开连接)或 FIN(优雅地结束连接)结束。 ( 科学直接 )
什么是 TCP/IP 模型? 解释 OSI 和 TCP/IP 模型之间的区别。
TCP/IP 模型是 Internet 上数据通信的默认方法。 它由美国国防部开发,旨在实现设备之间准确和正确的数据传输。
TCP/IP 将通信任务划分为保持流程标准化的层,而无需硬件和软件提供商自己进行管理。 数据包在被目标设备接收之前必须经过四层,然后 TCP/IP 以相反的顺序通过这些层将消息恢复为原始格式。 ( 福提尼 )
TCP/IP 模型包含四层。 这些层是:
- 应用层
- 传输层
- 互联网层
- 网络接入层
区别:
| TCP/IP | 操作系统 |
|---|---|
| TCP 指的是传输控制协议。 | OSI 指的是开放系统互连。 |
| TCP/IP 有 4 层 | OSI 有 7 层 |
| TCP/IP 在应用层本身同时使用会话层和表示层。 | OSI 使用不同的会话和表示层。 |
| TCP/IP 开发的协议然后建模。 | OSI 开发模型然后协议。 |
| ( GeeksforGeeks ) |
什么是ARP?
地址解析协议 ( ARP ) 是一种通信协议, 用于发现与给定 Internet 层地址(通常是 IPv4 地址)关联的链路层地址(例如 MAC 地址)。 此映射是 Internet 协议套件中的关键功能。 ( 维基百科 )
什么是 DHCP?
动态主机配置协议 (DHCP) 是一种用于 Internet 协议 (IP) 网络的 网络管理协议,用于自动为使用客户端-服务器架构连接到网络的设备分配 IP 地址和其他通信参数。
能否分享一些通用的网络安全产品名称?
- 防火墙
- 身份识别系统
- IPS
- WAF
IDS 和 IPS 之间的主要区别是什么?
IDS 仅检测流量,但 IPS 可以阻止/阻止流量。
如何保护自己免受中间人攻击?
虽然回答这个问题的场景不同,但加密是安全的关键。
网络应用安全
HTTP 响应代码是什么?
1XX: 信息 2XX: 成功 3XX: 重定向 4XX: 客户端错误 5XX: 服务器端错误
例如,404 是“服务器找不到请求的资源”。
解释 OWASP 前十名。
OWASP Top 10 是针对开发人员和 Web 应用程序安全性的标准意识文档。 它代表了对 Web 应用程序最关键的安全风险的广泛共识。 ( OWASP )
什么是 SQL 注入?
SQL 注入是一种关键的攻击方法,其中 Web 应用程序直接包含用户在 SQL 查询中提供的未经处理的数据。 ( 让我们保卫 )
解释 SQL 注入类型。
SQL 注入有 3 种类型。 这些是:
- In-band SQLi (Classical SQLi) :如果一个 SQL 查询通过同一通道发送并得到一个回复,我们称之为 In-band SQLi。 与其他 SQLi 类别相比,攻击者更容易利用这些。
- 推理 SQLi(盲 SQLi): 收到无法看到的回复的 SQL 查询称为推理 SQLi。 它们被称为盲 SQLi,因为无法看到回复。
- 带外 SQLi :如果对 SQL 查询的回复通过不同的通道进行通信,则这种类型的 SQLi 称为带外 SQLi。 例如,如果攻击者通过 DNS 接收对他的 SQL 查询的回复,这称为带外 SQLi。
如何防范 SQL 注入漏洞?
- 在检查 Web 请求时,检查来自用户的所有区域: 因为 SQL 注入攻击不仅限于表单区域,您还应该检查 HTTP 请求标头,如 User-Agent。
- 查找 SQL 关键字: 在从用户收到的数据中查找诸如 INSERT、SELECT、WHERE 之类的词。
- 检查特殊字符: 在从用户接收的数据中查找 SQL 中使用的撇号 (')、破折号 (-) 或括号或 SQL 攻击中经常使用的特殊字符。
- 熟悉常用的 SQL 注入有效载荷: 即使 SQL 有效载荷根据 Web 应用程序发生变化,攻击者仍会使用一些常见的有效载荷来检查 SQL 注入漏洞。 如果您熟悉这些负载,则可以轻松检测 SQL 注入负载。 您可以在此处 查看一些常用的 SQL 注入负载 。
什么是 XSS 以及如何预防 XSS?
跨站点脚本 (XSS) 攻击是一种注入,其中恶意脚本被注入到其他良性和受信任的网站中。 当攻击者使用 Web 应用程序将恶意代码(通常以浏览器端脚本的形式)发送给不同的最终用户时,就会发生 XSS 攻击。 允许这些攻击成功的缺陷非常普遍,并且发生在 Web 应用程序在其生成的输出中使用来自用户的输入而不对其进行验证或编码的任何地方。 ( OWASP )
要使 XSS 攻击成功,攻击者需要在网页中插入和执行恶意内容。 Web 应用程序中的每个变量都需要受到保护。 确保 所有变量 都经过验证,然后被转义或消毒,这被称为完美的抗注入性。 任何未经过此过程的变量都是潜在的弱点。 框架使确保变量得到正确验证和转义或清理变得容易。
然而,框架并不完美,在 React 和 Angular 等流行框架中仍然存在安全漏洞。 输出编码和 HTML 清理有助于解决这些差距。
解释 XSS 类型。
- Reflected XSS (Non-Persistent) :是一种非持久性 XSS 类型,XSS 有效负载必须包含在请求中。 它是最常见的 XSS 类型。
- Stored XSS (Persistent) :这是一种 XSS,攻击者可以将 XSS 有效负载永久上传到 Web 应用程序。 与其他类型相比,最危险的 XSS 类型是存储型 XSS。
- 基于DOM的XSS :基于DOM的XSS是一种XSS攻击,其中攻击载荷是由于修改了受害者浏览器中原始客户端脚本使用的DOM“环境”而执行的,因此客户端代码以“意外”的方式运行“ 方式。 (OWASP)
什么是 IDOR?
不安全的 直接 对象 引用( IDOR ),是由于缺少授权机制或使用不当而导致的 漏洞 。 它使一个人能够访问属于另一个人的对象。
在 2021 年 OWASP 中公布的最高 Web 应用程序漏洞安全风险中,IDOR 或“Broken Access Control”位居首位。
什么是射频干扰?
远程文件包含 (RFI) 是一种安全漏洞,当包含不同服务器上的文件而未清理从用户处获得的数据时,就会发生这种安全漏洞。
什么是 LFI?
本地文件包含 (LFI) 是在包含本地文件时发生的安全漏洞,而没有清理从用户获得的数据。
解释 LFI 和 RFI 之间的区别?
LFI 与 RFI 不同,因为要包含的文件位于托管 Web 应用程序的同一 Web 服务器上。
解释 CSRF。
跨站点请求伪造 (CSRF) 是一种攻击,它强制最终用户在当前已通过身份验证的 Web 应用程序上执行不需要的操作。 借助社会工程学的一点帮助(例如通过电子邮件或聊天发送链接),攻击者可能会诱骗 Web 应用程序的用户执行攻击者选择的操作。 如果受害者是普通用户,成功的 CSRF 攻击可以迫使用户执行状态更改请求,例如转移资金、更改电子邮件地址等。 如果受害者是管理帐户,CSRF 可能会破坏整个 Web 应用程序。 ( OWASP )
什么是WAF?
WAF 或 Web 应用程序防火墙通过过滤和监控 Web 应用程序和 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。 它通常保护 Web 应用程序免受跨站点伪造、跨站点脚本 (XSS)、文件包含和 SQL 注入等攻击。 WAF 是一种协议第 7 层防御(在 OSI 模型中),并非旨在防御所有类型的攻击。 ( 云耀斑 )
密码学
什么是编码、散列、加密?
编码: 将数据转换为不同系统之间交换所需的格式。
散列: 维护消息或数据的完整性。 任何一天发生的任何变化都会被注意到。
加密: 确保数据安全,需要数字验证码或图像才能打开或访问它。
散列和加密有什么区别?
散列: 散列是使用散列函数将信息转换为密钥的过程。 无法通过任何方式从哈希键中检索到原始信息。 ( GeeksforGeeks )
加密: 加密是将普通可读消息(称为明文)转换为垃圾消息或不可读消息(称为密文)的过程。 加密得到的密文可以很容易地使用加密密钥转换成明文。 ( GeeksforGeeks )
区别:
- 哈希函数不需要密钥来操作。
- 虽然输出的长度在加密算法中是可变的,但在散列算法中有一个固定的输出长度。
- 加密是一种双向函数,包括加密和解密,而散列是将纯文本更改为不可逆的唯一摘要的单向函数。
解释加盐哈希?
将盐添加到散列过程中以强制其唯一性,在不增加用户要求的情况下增加其复杂性,并减轻哈希表等密码攻击。 ( 授权 0 )
SSL 和 TLS 有什么区别?
| SSL | TLS |
|---|---|
| SSL 代表“安全套接层”。 | TLS 代表“传输层安全性”。 |
| Netscape 在 1995 年开发了 SSL 的第一个版本。 | TLS 的第一个版本由 Internet 工程任务组 (IETF) 于 1999 年开发。 |
| SSL 是一种加密协议,它使用显式连接在 Web 服务器和客户端之间建立安全通信。 | TLS 也是一种加密协议,可通过隐式连接在 Web 服务器和客户端之间提供安全通信。 它是 SSL 协议的继承者。 |
| SSL 已发布三个版本:SSL 1.0、2.0 和 3.0。 | 已发布四个版本的 TLS:TLS 1.0、1.1、1.2 和 1.3。 |
| 所有版本的 SSL 都被发现存在漏洞,并且都已被弃用。 | TLS 1.0 和 1.1 已“损坏”,并于 2020 年 3 月弃用。TLS 1.2 是部署最广泛的协议版本。 |
| ( SECTIGOStore ) |
恶意软件分析
编写书面代码的软件名称是什么?
编译器
将机器代码翻译成汇编语言的软件叫什么名字?
反汇编器
静态和动态恶意软件分析有什么区别?
静态分析: 它是通过逆向工程方法分析恶意软件而不运行它们的方法。 通常,通过反编译/反汇编恶意软件,分析恶意软件将执行的每个步骤,从而分析恶意软件的行为/能力。
动态分析: 这是通过运行恶意软件来检查系统上的行为的方法。 在动态分析中,可以检查注册表、文件、网络和进程事件的应用程序安装在系统中,并通过运行恶意软件来检查它们的行为。
还应注意,仅使用一种方法可能不足以分析恶意软件。 同时使用这两种方法会给你最好的结果!
恶意软件如何在 Windows 上实现持久性?
- 服务
- 注册表运行键(Run、RunOnce)
- 任务计划程序
- 感染清理文件
事件日志分析
Windows 上默认提供哪些事件日志?
- 安全
- 应用
- 系统
使用哪个安全事件 ID 可以检测到成功的 RDP 连接?
4624
使用哪个事件 ID 可以检测到失败的登录?
4625
我应该查看哪个事件的哪个字段以便检测 RDP 登录?
您可以使用事件 ID 4624 检测 RDP 登录活动。“登录类型”值应为 10 。
威胁情报
什么是网络威胁情报 (CTI)?
威胁情报是使用工具和技术对数据进行分析,以生成有关针对组织的现有或新兴威胁的有意义的信息,以帮助降低风险。 威胁情报可帮助组织做出更快、更明智的安全决策,并将其行为从被动变为主动以应对攻击。 ( 理事会 )
网络威胁情报 (CTI) 中的 TAXII 是什么?
TAXII 是 Trusted Automated eXchange of Intelligence Information 的缩写,它定义了如何通过服务和消息交换共享网络威胁信息。 ( 异常 )
列举一些威胁情报平台
IBM X Force Exchange、思科 Talos、OTX AlienVault
威胁情报有哪些类型?
- 战略威胁情报
- 战术威胁情报
- 技术威胁情报
- 运营威胁情报