网安面经收集

Appearance

用过什么设备? 

对于边界出口部署IPS,WAF,防火墙等安全设备(增加入侵成本及难度),特殊时期可对国外IP访问进行限制,针对于内网情况部署EDR设备及探针,及时响应内网流量及响应内网webshell落地,态势感知可对于部分内网通信加入白名单,针对于攻击情况与WAF及防火墙进行联动。  

​ 针对于出口防火墙配置安全策略,对IP进行黑白名单限制,对于中高危漏洞次数响应封禁限制,内网探针捕获流量发送至态感进行分析,对集权设备(堡垒机等)进行重点防护保障,对靶标系统标识并进行重点监护,保障内外网全方位流量检测。
  • 深信服 防火墙:AF 终端安全:EDR 态势感知:SIP 访问安全:深信服SSL VPN
  • 长亭 防火墙:雷池(SafeLine) 安全评估系统:洞鉴(X-Ray) 态势感知:万象(COSMOS) 伪装欺骗系统:谛听(D-Sensor)
  • 绿盟 IPS:NIPS IDS:NIDS 态势感知:ISOP-NDR 访问安全:绿盟VPN
  • 启明星辰 防火墙:天清汉马 IPS:天清IPS IDS:天阗IDS 态势感知:启明星辰态势感知 访问安全:天清汉马VPN
  • 天融信 防火墙:天融信NGFW 入侵检测和防御系统:TopSentry 态势感知:天融信态势感知系统 访问安全:天融信VPN系统
  • 奇安信 防火墙:网神防火墙 IPS:奇安信入侵检测系统 IDS:奇安信入侵检测系统 终端安全:天擎 态势感知:天眼 访问安全:奇安信VPN
  • 网御星云 防火墙:网御防火墙 IPS:LeadsecIPS IDS:LeadsecIDS 态势感知:Leadsec-CSA 访问安全:网御星云SSL VPN山石网科 防火墙:iNGFW 入侵检测和防御系统:IDPS
  • 安恒 防火墙:玄武盾 入侵检测和防御系统:明御 态势感知:AiLPHA
  • 亚信 防火墙:信舷(AISWAF) IPS:AISTPS 态势感知:信舵(MAXS)
  • 铱迅 防火墙:YXLink WAF IPS:YXLink IPS 情报系统:YXLink NIS 态势感知:YXLink SSOC

奇安信

天眼,NGSOC,网科等设备的策略优化

天眼

  1. 在天眼分析平台网络协议中,sip、dip、sport、dport字段表示的含义是什么?

    • sip: 源IP
    • dip: 目的IP
    • sport: 源端口
    • dport: 目的端口

  2. 在天眼分析平台DNS协议中,dns type字段表示的含义是什么?

    • dns type表示DNS请求类型,0代表DNS请求,1代表DNS响应

  3. dns_type中addr代表什么?

    • 表示该host对应的IP地址信息,可能有多个记录

  4. 天眼可以捕捉到cmd命令吗?

    • 可以捕捉到远程执行的cmd命令,比如攻击者远控内网机器,执行cmd并返回结果

  5. 天眼告警可以显示的结果,除了成功和失败还有什么?

    • 成功、失败、尝试、未知
      • 未知:一般是告警生成错误了,可以忽略
      • 尝试:可能成功也可能失败,需要进一步分析

  6. 内网横向有哪些告警类型?

    • CS相关告警、隧道类告警、内网段的漏洞扫描、暴力破解
      • 内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机

  7. 使用天眼,如何判断资产是否失陷?

    • 受害资产不断外联恶意地址,受害资产有shell连接或者隧道类的告警

  8. 出现受害IP为源的时候是什么情况?

    • 当网络攻击者使用IP欺骗或伪造技术时,可能会发生受害IP为源的情况

  9. 在天眼分析中,威胁告警检索字段中attack sip字段表示的含义是什么?

    • 攻击者IP

  10. 在天眼分析平台中,proto字段表示的含义是什么?举两个邮件应用协议的例子

    • proto表示协议,邮件应用协议有SMTP、POP、IMAP

  11. 在天眼分析平台中,IOC代表什么含义、反映?

    • IOC表示匹配成功的威胁情报
    • 反映主机或网络失陷特征信息,包括入侵工具、恶意软件和攻击者的属性

  12. 天眼中搜索一个日志里指定的端口?想把两个端口连接在一起查询?

    • sport eq 80
    • sport eq 80 or sport eq 443

  13. 一个告警的目的IP是114.114.114.114,端口是53,这样的告警,我应该对它的IP和端口进行封禁吗?

    • 不能封禁,明显是DNS服务器转发的地址和端口,需要进一步确认真实受害资产的IP信息

  14. 在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日志?运算符(AND)是大写还是小写?

    • ip(A) AND dip(B)
    • 运算符需要大写

  15. 在天眼分析平台中,运算符都有哪些?

    • AND, OR, NOT

  16. 天眼分析平台中,发件人的字段是什么?

    • from

  17. 天眼分析平台模糊搜索,应该怎么写查询语句?

    • 直接在日志检索模块搜索你要输入的关键字
    • 使用*加部分名称进行检索

  18. GEO字段代表什么?

    • 代表IP对应的地理位置

  19. 不出网的主机通过哪种代理方式建立连接?

    • 正向代理

  20. 天眼能捕捉到0day吗?

    • 可以,需要通过日志去分析挖掘

  21. 天眼里的小工具用过吗?

    • 用过,可以做一些常见编码的解码等,比如base64解码、url解码

  22. 天眼的探针问题?

IDS,IPS哪个是旁挂?哪个是串接?

  • IDS是旁挂,IPS是串接

防火墙和WAF应用分别是哪个层?应用层可以用吗?可以用来做什么?

  • 防火墙通常工作在网络层或传输层
  • WAF工作在应用层
  • 应用层可以用,WAF可以用来保护应用免受SQL注入、跨站脚本攻击等应用层攻击