护网面试题3.0

1.如何识别安全设备中的无效告警

通过特征规则将无效告警、误报告警过滤掉

需要对告警日志进行研判分析，从其中找出「真实有效」的攻击事件

2.常见的威胁情报平台有哪些？

微步在线

360威胁情报中心

奇安信威胁情报分析中心

3.木马驻留系统的方式有哪些

木马驻留第一招：利用系统启动文件

木马驻留第二招：文件捆绑使木马运行

木马驻留第三招：巧用启动文件夹

4.当收到钓鱼邮件的时候，说说处理思路

1.推荐接入微步或奇安信的情报数据，对邮件内容出现的URL做扫描

2.屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问

3.屏蔽钓鱼邮件

4.处理接受到钓鱼邮件的用户

5.事后提高提高全员的安全意识

5.如何对攻击事件进行溯源？

溯源方式：隔离webshell样本，使用Web日志还原攻击路径，找到安

全漏洞位置进行 漏洞修复 ，从日志可以找到攻击者的IP地址

常见的反制思路是什么？

IP定位技术

ID定位技术

网站url

社交信息

给攻击者画像

6.如何快速检测定位网站目录下的webshell

1、通过URL信息获取

2、通过扫描工具扫描获取

通过Webshell查杀工具进行扫描，可以定位到部分免杀能力不强的Webshell文件。例如：D盾、河马等工具。

3、根据文件创建/修改时间获取

7.如何还原失陷路径

• 1. 用命令提示符或PowerShell恢复
• 2. 利用用户配置备份文件恢复
• 3. 利用注册表编辑器获取路径