2026护网蓝队威胁狩猎面试50道真题教程：SIEM规则编写+XDR告警研判+MITRE ATTCK映射

最近两个多月帮部门面了二十多个蓝队岗候选人，从校招到3年经验的社招都有。最大的感受很直接：背概念的人一抓一大把，能上手写规则、坐下来判告警的人太少。

护网常态化之后，威胁狩猎成了安全岗最热门的方向，薪资涨得快，岗位缺口也大。但很多人准备面试还停留在背MITRE战术列表、背SIEM定义，一到实操题直接卡壳。面试官随便甩一条SSH日志让写关联规则，要么只写单条字符串匹配，要么连时间窗口都不加，做出来的规则上线一天告警几千条，根本没法用。

这篇整理了2026年春招到护网前最常考的50道真题，全是互联网、国企、安全厂商的真实面试题，覆盖SIEM规则编写、XDR告警研判、ATT&CK映射、威胁狩猎、应急响应五大模块。每道题给了答题思路、可直接复用的代码，连面试官的打分标准都标出来了。不管是找工作面试，还是内部SOC团队培训都能用。

蓝队面试从来不考概念背诵，核心考察三个能力：能不能把攻击行为翻译成可落地的检测规则、能不能快速研判告警真假并定位影响范围、能不能用标准化框架找到检测盲区。所有题目都围绕这三点展开，背定义没用，懂底层逻辑才能通关。

一、SIEM规则编写实战（15道）

SIEM的核心不是存日志，是通过规则把隐藏在海量日志里的攻击行为捞出来。很多新手写规则有个通病：只做单条日志匹配。这种规则写出来全是误报，上线等于没上。

1. 单条告警规则与关联规则的区别 + SSH暴力破解规则编写

这是蓝队一面必考题，很多人答到“单条匹配单个事件，关联匹配多个事件”就停了，只能拿一半分。

单条规则只匹配单一日志源的单个行为，比如单次SSH登录失败。它的作用是做基础日志标记，不能直接当告警用，误报率极高。正常人输错密码也是登录失败，总不能每次输错都告警。

关联规则是多维度聚合，加上时间窗口、统计阈值，过滤正常行为。暴力破解的本质不是“登录失败”，是“短时间内连续多次登录失败”，这才是攻击行为。

可直接复制的Splunk SPL版本：

index=linux sourcetype=secure "Failed password" | stats count as fail_count by src_ip, user, _time span=5m | where fail_count >= 10 | eval latest_time = strftime(_time, "%Y-%m-%d %H:%M:%S") | table src_ip, user, fail_count, latest_time | sort - fail_count

逻辑：5分钟窗口内，同一个源IP针对同一个账号，登录失败次数≥10次触发告警。

评分要点（满分10）：区分两类规则占3分，可运行SPL占4分，说明时间窗口与阈值设计逻辑占3分。只写关键词匹配直接扣5分。

补充实战细节：阈值不是拍脑袋定的。正常用户输错密码一般不会超过3次，5分钟10次是行业通用值，具体要根据公司业务调整。比如有统一身份认证的环境，登录失败次数偏多，阈值可以适当拉高。

2. PowerShell Base64编码执行检测规则（含误报过滤）

无文件攻击最常用的手段，面试高频题，核心考点是误报控制。

攻击特征很明显：powershell.exe带-enc或者-EncodedCommand参数，命令行里有超长Base64字符串。但很多运维脚本也会用Base64加密配置，直接匹配会产生大量误报。

规则要加三层过滤：正则匹配超长Base64串（100字符以上才可疑）、可信运维IP白名单、合法脚本路径白名单。

SPL示例：

index=windows sourcetype=XmlWinEventLog:Security EventCode=4688 | search NewProcessName="*\\powershell.exe" | regex CommandLine="(-enc|-EncodedCommand)\s+[A-Za-z0-9+/=]{100,}" | search NOT src_ip IN (192.168.1.10, 192.168.1.11) | search NOT NewProcessName="C:\\Program Files\\运维脚本\\*" | table _time, host, SubjectUserName, CommandLine, NewProcessName

对应MITRE ATT&CK：T1059.001（PowerShell执行，执行战术）

评分要点：识别编码参数2分，超长Base64正则3分，白名单过滤逻辑2分，子技术映射准确3分。

3. 日志归一化的作用 + Windows 4625登录失败归一化字段

考SIEM底层逻辑，很多人用了很久SIEM，连归一化是什么都讲不清。

异构日志的字段名全不一样，Linux登录失败源IP叫src_ip，Windows 4625里叫IpAddress，防火墙里叫source。不归一化的话，写跨日志源关联规则要适配N个字段，根本没法维护。

归一化就是把所有日志的核心字段统一命名，不管什么日志源，源IP都叫src_ip，目标用户都叫target_user，事件类型都叫event_type。这样写关联规则、做全局检索的时候，直接用统一字段就行。

Windows 4625登录失败核心归一化字段：

• event_id: 4625
• event_type: login_failure
• src_ip: IpAddress
• target_user: TargetUserName
• logon_type: LogonType
• failure_reason: FailureReason
• host: ComputerName

评分要点：解释归一化价值4分，字段列全6分。

4. PsExec横向移动关联规则（双日志源）

社招3年以上进阶题，考多日志源关联能力。

PsExec的原理是通过SMB连接目标主机，上传服务远程执行。单看终端日志只能看到psexec.exe进程，没法判断是不是横向。真正的关联规则要串两个日志源：网络侧SMB连接日志 + 终端侧进程创建日志。

逻辑：1分钟内，源主机向目标主机发起445端口SMB连接，之后目标主机出现psexec.exe或者PSEXESVC.exe进程创建。

SPL关联示例：

| join type=inner host, _time [ search index=network dest_port=445 | rename src_ip as source_host, dest_ip as host | fields source_host, host, _time ] [ search index=windows EventCode=4688 NewProcessName="*\\psexec*.exe" | fields host, NewProcessName, CommandLine, _time ] | bin _time span=1m | stats values(source_host) as source_host, values(NewProcessName) as process by host, _time

对应ATT&CK：T1021.002（SMB远程服务，横向移动战术）

评分要点：双日志源关联5分，识别PsExec进程特征3分，ATT&CK映射2分。只写单终端进程匹配最多拿3分。

5. Webshell上传检测规则（Web日志场景）

护网常考题，针对Web访问日志的规则编写。

很多人写规则只匹配后缀，url里有.php就告警，业务正常的PHP接口会产生海量误报。Webshell检测要同时满足两个条件：请求方法为POST，请求内容或URL参数包含恶意函数。

常见恶意函数：eval、assert、exec、system、base64_decode、CreateObject。

Nginx日志SPL示例：

index=nginx request_method=POST | regex request_uri "\.(php|asp|aspx|jsp)$" | regex request_body "(eval|assert|exec|system|base64_decode|CreateObject)\(" | search NOT request_uri="/admin/正常接口/*" | table _time, src_ip, request_uri, status, request_body

对应ATT&CK：T1505.003（Web Shell，持久化战术）

实战补充：很多WAF会打码请求体，SIEM拿不到完整内容。这时候可以结合响应码和响应大小判断，陌生脚本文件首次访问返回200且响应体极小，大概率是刚上传的webshell。

6. 计划任务后门检测规则

攻击者拿到权限后常用计划任务做持久化，对应Windows事件ID 4698。

正常计划任务有明确规律：凌晨备份、定时监控、路径在Program Files下。恶意计划任务一般藏在Temp、AppData目录，执行powershell或cmd，触发时间随机。

规则逻辑：检测到计划任务创建，执行程序路径包含Temp/AppData，或执行powershell/cmd带远程下载参数则告警，同时过滤运维常用的备份、监控任务。

SPL示例：

index=windows EventCode=4698 | search TaskContent="*Temp*" OR TaskContent="*AppData*" OR TaskContent="*powershell*" OR TaskContent="*cmd.exe*" | search NOT TaskName="*备份*" AND NOT TaskName="*监控*" | table _time, host, TaskName, TaskContent, SubjectUserName

对应ATT&CK：T1053.005（计划任务，持久化战术）

7. 日志清除行为检测规则

攻击者入侵后第一步常删日志规避溯源，对应命令wevtutil cl、PowerShell的Clear-EventLog。

单条清除日志命令可能是运维操作，必须加前置关联条件：清除日志前1小时内，主机出现过登录失败、凭证读取、异常进程等可疑行为，才判定为高风险。

SPL示例：

index=windows EventCode=4688 | regex CommandLine="wevtutil\s+cl|Clear-EventLog" | join type=left host [ search index=windows (EventCode=4625 OR EventCode=4663) _time > relative_time(now(), "-1h") | stats values(EventCode) as pre_event by host ] | table _time, host, CommandLine, pre_event

对应ATT&CK：T1070.001（日志清除，防御规避战术）

8. 挖矿木马外联检测规则

挖矿木马最明显的特征是高频解析矿池域名，以及大量长连接出站。

规则逻辑：单台主机1小时内，DNS解析矿池域名次数≥20次，排除合法区块链业务服务器。可补充端口特征，常见矿池端口3333、8899、14147，大量出站长连接到这些端口也触发告警。

SPL示例：

index=dns query IN (*pool.com, *mine.org, *f2pool.com, *antpool.com) | stats count as query_count by src_ip, query, _time span=1h | where query_count >= 20 | search NOT src_ip IN (10.0.0.5, 10.0.0.6) | table src_ip, query, query_count

对应ATT&CK：T1041（命令与控制通信）

9. SIEM规则误报过多的优化手段

开放题，直接筛选有没有实际运营经验。

• 加维度白名单：可信IP、业务账号、合法进程路径、服务器主机名，能过滤80%基础误报。
• 做行为基线：学习业务正常的访问时段、频次、端口，偏离基线再告警。比如业务服务器白天流量大正常，凌晨突然大量外联就可疑。
• 多事件关联：单一行为不告警，两个以上可疑行为组合才触发。比如单次PowerShell编码不可疑，加上外联陌生IP就告警。
• 动态阈值：业务高峰和低谷用不同阈值，上班时间登录失败阈值拉高，凌晨阈值降低。
• 情报联动：匹配高置信恶意IOC的告警升级，纯行为异常的降低等级。
• 过滤无效日志：测试环境、蜜罐、自动化巡检的日志直接排除，不进规则引擎。

至少答出5条才算合格，提到基线和关联分析加分。

10. 威胁情报与SIEM规则的联动方案

考体系化能力，不是单条规则的写法。
完整流程：

1. 定时拉取威胁情报库，把恶意IP、域名、文件哈希存到SIEM的lookup查找表，按置信度分级。
2. 全局流量、DNS、终端日志左联lookup表，匹配到高置信IOC直接生成高等级告警。
3. 告警触发后联动SOAR，自动下发防火墙封禁指令，无需人工介入。
4. 定期清理过期情报，一般IOC有效期7到30天，过期从lookup中删除，避免误拦。

只说“匹配情报”没提生命周期管理和分级，拿不到满分。

11. 规则分级标准（低/中/高/严重）

护网里规则必须分级，不然告警全堆在一起根本处置不过来。

• 低危：单条异常日志，无扩散风险。比如单次端口扫描、单条登录失败。只记录，不推送告警。
• 中危：可疑行为，无明确恶意IOC，未造成实质影响。比如单次PowerShell编码执行、少量外部IP访问管理端口。需要人工核查，不用优先处置。
• 高危：多事件关联的可疑行为，大概率为真实攻击。比如暴力破解成功、内网横向尝试、访问已知C2域名。必须立即处置。
• 严重：确认入侵成功，或业务已受影响。比如勒索加密、域控异常操作、大量数据外发。需马上启动应急响应。

12. 狩猎查询（Hunt Query）与实时告警规则的区别

很多人分不清，面试常考概念辨析。
实时告警规则7*24小时运行，命中条件立刻推告警，用来检测已知攻击。特点是阈值明确、逻辑固定、误报可控。

狩猎查询按需运行，离线检索历史日志，寻找无规则覆盖的隐蔽威胁。没有固定阈值，也不实时推送，用来主动发现未知攻击。比如你假设攻击者用了某种新LOLBAS工具，写查询去历史日志里搜有没有人用过，这就是狩猎。

简单说：告警侧重IOC，狩猎侧重IOA。

13. 规则上线前的完整测试流程

直接筛掉没实际落地经验的候选人。
规则不是写好就直接上线，必须走测试流程，不然误报炸了没人扛得住。

1. 离线回放历史日志：拿过去7天日志跑规则，统计告警量和误报率，太高就调阈值、加白名单。
2. 样本验证：导入已知攻击样本日志，验证规则命中情况，排查漏报。
3. 业务高峰测试：用工作日早高峰、月底结算期的日志跑，确认业务高峰期无大量误报。
4. 灰度上线：先在小部分资产上跑24小时，观测告警量，没问题再逐步扩大范围。
5. 全量发布：同步更新规则文档，标注规则ID、对应ATT&CK、误报处理方法。

少了离线测试和灰度上线，说明没有真正运营过SIEM。

14. KRBTGT账户异常登录检测

域环境进阶题，考Kerberos协议与域渗透认知。
KRBTGT是域控服务账号，正常情况下只有域控自己用它做票据同步，其他主机登录这个账号一定有问题，大概率是制作黄金票据。

规则逻辑：登录账号为KRBTGT，登录源不是域控IP，或登录时间在凌晨非运维时段，触发告警。

SPL示例：

index=windows EventCode=4624 TargetUserName="KRBTGT" | search NOT IpAddress IN (192.168.1.2, 192.168.1.3) | search NOT _time >= "08:00:00" AND _time <= "20:00:00" | table _time, IpAddress, TargetUserName, LogonType

对应ATT&CK：T1003.003（Kerberos票据窃取，黄金票据前置行为）

15. 多源日志关联规则的设计思路

二面/终面大题，考复杂规则设计能力。
核心思路是按攻击链串联，不是随便拼接两个日志。

1. 所有日志先做归一化，统一src、dst、时间戳、事件类型等核心字段。
2. 对齐时间窗口，一般±30秒，不同日志源时间可能有偏差，不能卡太死。
3. 按攻击阶段分层：第一层外网入站流量（防火墙），第二层终端恶意进程（EDR），第三层系统凭证操作（Windows日志）。
4. 三层日志同时命中才触发高危告警，只有一层命中则降级处理。

这样做出来的关联规则误报率极低，攻击者很难同时在三层都伪装成正常行为。

二、XDR告警研判实操（15道）

很多人以为XDR是高级版EDR，其实完全不是。EDR只管终端，SIEM只管日志，XDR把终端、网络、云、邮件、身份的数据全打通，自动拼接攻击链，不用人工跨十几个平台查日志。护网场景下，XDR能把研判时间从几小时压缩到几分钟。

16. XDR对比EDR、SIEM的核心优势

XDR模块开篇题，考工具定位理解。
两个核心优势，不用扯冗余概念：
第一是全链路数据融合。EDR只能看到终端进程，看不到网络流量和邮件入口；SIEM只能看到日志，看不到进程注入、内存操作等终端细节。XDR打通所有数据，一个告警就能呈现从钓鱼邮件点击、进程执行、凭证窃取到横向移动的完整路径。
第二是自动攻击链拼接。以前研判告警要自己去EDR查进程、去防火墙查流量、去邮件网关查附件。XDR按时间和资产自动串联所有行为，打开告警直接看到完整入侵过程，不用到处找日志。

护网中的价值很直接：同样人手，用XDR一天处置的告警量是纯SIEM的三倍以上。

17. 告警研判：notepad.exe注入sqlserver.exe的完整处置流程

最经典的进程注入研判题，考完整应急处置思路。
别上来就说隔离主机，先核验真假。

1. 告警核验：查看进程树，notepad的父进程是否正常（正常应为explorer.exe）；注入的内存模块是否有签名、是否为未知哈希、是否匹配恶意文件情报。
2. 真伪判定：正常记事本不会主动注入数据库进程，确认真阳性。
3. 遏制：先隔离这台数据库服务器，断开内网横向连接，同时阻断出站C2流量，防止攻击者继续操作或扩散。业务场景下要先切备用节点，不能直接断业务网。
4. 取证：导出进程dump、内存镜像、系统日志、XDR进程树记录，留作溯源证据。
5. 根除：删除恶意注入模块，排查注册表、计划任务、启动项后门，重置数据库所有高权限账号密码。
6. 恢复：修复对应漏洞，全盘查杀确认无残留，逐步恢复业务。
7. 复盘：将攻击特征补充到SIEM和XDR检测规则，补全检测盲区。

对应ATT&CK：T1055（进程注入）

评分要点：遵循完整处置流程，结合业务场景给出隔离方案。只说隔离主机拿不到高分。

18. 大量低危告警造成告警疲劳，降噪方案

SOC运营核心痛点，面试必问。
很多人只会说“加白名单”，太浅了，落地方法有这些：

• 资产分级。核心业务服务器的告警全部保留，办公终端的扫描类、低危异常直接降级甚至不推送。办公终端一天几十个低危告警很正常，全推给分析师根本看不过来。
• 同主机同类告警聚合。同一个主机一小时内出现10次同类型低危告警，合并成一条，不重复推送。
• 行为基线。给每台主机建立正常行为基线，偏离基线的告警才推送。开发机天天跑PowerShell脚本就别每次告警，服务器平时不用PowerShell，一用就告警。
• 情报加权。匹配高置信恶意IOC的告警直接升级，纯行为异常、无情报匹配的降低等级。
• 自动过滤测试机、运维工作站的低危告警。这些机器操作本来就杂，低危告警直接忽略。

核心原则：把分析师精力留给高危告警，不要被低危噪声耗死。

19. Mimikatz凭证抓取告警的研判与横向风险预判

出现Mimikatz告警基本意味着入侵者已拿到本地管理员权限，下一步大概率横向。
研判步骤：
先查Mimikatz的执行路径、命令行参数、执行账号。确认是抓本地哈希还是域票据，有没有抓取KRBTGT哈希。
再查这台主机的后续行为：有没有发起SMB、WMI、RDP连接到内网其他主机，有没有PsExec、wmiexec等横向工具进程。
最后查域控登录日志，看有没有用抓取到的账号登录域控。

处置动作：立刻重置该主机本地管理员密码，所有域管理员账号同步修改，阻断445、3389等常用横向端口，防止扩散。

对应ATT&CK：T1003.001（LSASS内存凭证转储）

评分要点：预判横向移动风险，给出账号重置处置方案。只盯着单台主机查Mimikatz，说明没有全局思维，蓝队最忌讳只看单点告警。

20. 真阳性、误报、噪声告警的区分标准

考研判底层逻辑，很多人做了很久运营都分不清楚。
用例子说明最直观：

• 真阳性：有完整攻击链，有明确恶意结果。比如PowerShell编码执行后跟着外联恶意C2，再出现凭证读取。行为连贯、目的明确，就是真实攻击。
• 误报：行为匹配规则，但无恶意目的。比如运维自动化脚本用Base64加密配置，命令行匹配编码规则，但脚本合法、行为是正常运维操作。
• 噪声：只有单点探测，无后续动作，不会造成影响。比如互联网批量端口扫描，扫到服务器但无后续渗透尝试，就是噪声。

研判核心标准：这个行为有没有攻击意图，有没有造成实质风险。

21. 无文件攻击（LOLBAS）告警研判思路 + 常见工具

无文件攻击是当前主流，护网红队基本都用，面试必考。
LOLBAS就是用系统自带工具发起攻击，无需上传恶意文件，传统杀毒软件很难检测。

常见工具：rundll32、mshta、regsvr32、certutil、bitsadmin、wmic、msiexec。全是Windows自带，有合法签名。

研判思路：
别只看工具本身，这些工具正常运维也会用。要看它加载的对象。比如rundll32加载本地系统dll很正常，加载远程URL的dll，或者Temp目录下的无名dll，一定是恶意的。
再看父子进程关系。mshta的正常父进程是浏览器或explorer，如果父进程是PowerShell或cmd，还带远程URL参数，基本就是钓鱼执行载荷。

对应ATT&CK：T1218（签名二进制代理执行）

至少说出5个LOLBAS工具才算合格，能讲清研判逻辑加分。

22. 云XDR告警：EC2实例异常大量出站流量至境外IP

云主机普及后，这类题越来越多。
别只查终端，云环境要结合云审计日志。

1. 调取CloudTrail日志，确认实例创建者、近期登录IP、安全组变更记录。
2. 查看XDR终端进程，排查挖矿程序、勒索进程、陌生后台服务。
3. 核查DNS日志，确认是否解析矿池、C2域名，判断是否失陷。
4. 临时阻断：在安全组和网络ACL中禁止出站到境外IP，不要直接关实例，避免丢失证据。
5. 快照取证后，用干净镜像重建实例，迁移业务。

云环境研判的核心是结合云原生日志，不能只盯着终端。

23. 同一账号多地异地登录，区分正常VPN与账号泄露

很多人只会看IP地理位置，太片面。
要交叉验证四个维度：

• 设备指纹：是否为员工常用终端，是否安装企业安全客户端，系统、浏览器指纹是否匹配。
• 登录方式：通过企业合规VPN登录，还是直接RDP/SSH直连，或是使用陌生远程工具。
• 后续行为：登录后是否批量读取文件、抓取凭证、创建账号、修改配置。正常员工登录是处理工作，不会一上来就遍历文件。
• 情报匹配：登录IP是否为代理IP、Tor节点、已知攻击IP。

两个以上维度异常，基本判定为账号泄露。确认后立即锁定账号，强制修改密码并开启MFA。

对应ATT&CK：T1078.003（被盗账号）

24. 护网批量告警的优先级排序方法

护网一天几千条告警很正常，优先级排错了，高危的没处理，低危的忙一天，直接出大事。

排序规则按权重从高到低：

第一看资产重要性。域控、核心数据库、业务主服务器的告警永远优先，办公终端告警往后排。

第二看攻击阶段。越靠后的攻击阶段越危险：凭证窃取、横向移动、数据加密 > 初始访问、端口扫描、单次异常进程。已经进入内网的攻击，比外部扫描危险100倍。

第三看告警关联。同一主机同时触发多条不同类型告警、形成攻击链的，优先处置。单条孤立告警可以缓一缓。

第四看情报匹配。命中高置信恶意IOC的告警优先，纯行为异常的往后放。

按这个规则筛选，先处理最危险的，不要按告警时间顺序逐条看。

25. XDR检测计划任务后门，与SIEM研判的区别

考不同工具的能力边界理解。
SIEM只能拿到计划任务创建日志，知道有人建了任务，但任务执行了什么、有没有后续行为，SIEM看不到。得自己去查进程日志、流量日志，拼接起来才能判断是不是后门。

XDR不一样，点开计划任务告警，直接能看到任务触发后的所有行为：执行了什么进程、有没有外联、有没有读写敏感文件、有没有后续横向。整个链路是串好的，不用自己到处查。

简单说：SIEM告诉你“发生了一件事”，XDR告诉你“这件事之后发生了什么，造成了什么影响”。

26. 勒索病毒告警的识别特征与应急阻断动作

护网最高危事件之一，处置慢了整个部门都要背锅。

三个核心识别特征：

• 文件系统：大量文件被批量重命名，出现统一加密后缀，如.lockbit、.conti、.360。
• 进程层面：进程批量遍历读取文档、图片、数据库文件，CPU和磁盘IO突然拉满。
• 网络层面：大量SMB扫描内网其他主机，尝试横向传播，同时外联勒索C2服务器。

应急阻断动作要快，别犹豫：

1. 立刻隔离受感染主机，XDR一键隔离或物理断网，防止横向扩散。
2. 全局阻断内网445、139端口，禁止SMB共享访问，切断传播路径。
3. 断开受感染网段外网连接，防止勒索软件继续下载模块。
4. 备份未加密的核心数据，避免进一步加密损失。

对应ATT&CK：T1486（数据加密勒索）

评分要点：说出横向传播阻断动作。很多人只知道隔离单台主机，不知道封端口，一不留神整个内网中招。

27. WMI异常远程执行告警的横向路径研判

WMI是当前红队最常用的横向工具，比PsExec隐蔽，日志更少。
研判要溯源整条链路：

先定位WMI执行的源主机、使用账号、执行命令。

再看目标主机在WMI执行后，是否创建新进程、是否外联流量、是否下载文件。

然后排查同网段甚至整个域内的其他主机，有没有同源IP发起的WMI连接，统计攻击者已横向的范围。

最后处置：封禁源主机，重置所有涉及账号密码，全网扫描WMI异常登录。

对应ATT&CK：T1047（Windows管理规范）

28. XDR自动攻击链（Attack Graph）的作用

很多人用XDR只看单条告警，浪费了最核心的功能。
自动攻击链是XDR根据时间、资产、账号，自动把同一攻击者的所有行为串联起来，从初始入口到执行、提权、横向、C2，按时间线完整排布。

研判时的价值：

• 快速定位入侵入口，不用自己倒推，攻击链直接标注第一步是钓鱼邮件还是漏洞利用。
• 快速确定受影响范围，攻击链列出所有被入侵主机、被盗账号，不用逐台排查。
• 快速判断攻击意图，看攻击链进展到哪一步，决定处置优先级。

护网场景下这个功能最实用，以前溯源一次要几小时，现在几分钟就能理清全貌。

29. LOLBAS工具告警的误报优化方案

LOLBAS规则最容易误报，因为正常运维天天用这些工具。
优化思路不是关规则，是加约束条件：

• 路径约束：工具加载系统目录、正规程序目录的文件放行，Temp、AppData、下载目录的文件触发告警。
• 来源约束：加载本地文件放宽，加载远程URL、网络共享文件直接告警。
• 频次约束：单次执行放行，一小时内多次异常调用、批量主机同时调用则升级告警。
• 资产约束：业务服务器严格管控，LOLBAS外联外网直接告警；办公终端和开发机适当放宽。

核心就是：只给正常使用场景放行，异常场景一个不放过。

30. 终端XDR与网络XDR告警冲突的排查方法

比如网络侧告警主机外联恶意IP，但终端XDR没查到任何异常进程。这种情况很常见，也最考验能力。

别直接判定网络误报，很多隐性威胁终端层面看不到。

1. 先抓网络包，确认通信端口、载荷、时长。短时间UDP包可能是扫描，长连接持续传数据一定有问题。
2. 查终端DNS缓存、计划任务、系统服务、驱动程序。很多定时外联的后门平时不启动，到点才运行，查的时候刚好没跑，终端XDR就看不到。
3. 查浏览器插件、扩展程序。很多恶意流量由浏览器插件发起，不在系统进程监控范围内。
4. 抓内存镜像深度分析。驱动级后门、rootkit会hook系统调用，篡改终端XDR的进程列表，内存分析才能查出真实进程。

这道题答得好，直接能拉开和普通分析师的差距。

三、MITRE ATT&CK映射实战（10道）

很多人觉得ATT&CK就是用来背的，面试列战术列表就行。其实ATT&CK是蓝队的标准化语言，用来给检测规则打标、做能力差距分析、输出标准化攻击报告。

31. ATT&CK企业矩阵的14大战术

基础题，校招必问。
初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响、预攻击、资源开发。

14个不能错，错一个扣一分。

32. 钓鱼宏文档攻击的完整ATT&CK映射

考完整攻击步骤的映射能力，不是单个行为。

• 初始访问：T1566.001 鱼叉式钓鱼附件
• 执行：T1059.005 办公宏
• 防御规避：T1562.001 禁用安全防护（宏执行后通常会先关闭防火墙、杀毒软件）

只写一个执行战术拿不到满分，攻击走了几步就要映射几步。

33. LSASS转储→PtH→PsExec横向域控的逐步骤映射

最经典的域渗透攻击链，面试高频题。

• 凭证访问：T1003.001 LSASS内存凭证转储
• 凭证访问：T1550.002 Pass-the-Hash哈希传递
• 发现：T1087.002 域账户发现
• 横向移动：T1021.002 SMB远程服务（PsExec）

每一步都要对应子技术ID，不能只写大技术ID。比如不能只写T1003，要写T1003.001，才算精准映射。

34. Gap分析的定义与落地方法

Gap分析就是差距分析，把现有检测能力和ATT&CK矩阵比对，找出没有检测覆盖的攻击技术，也就是检测盲区。

落地步骤：

1. 给所有SIEM规则、XDR告警、狩猎查询打上ATT&CK标签，每条规则对应一个或多个技术ID。
2. 用ATT&CK Navigator生成热力图，覆盖到的技术标色，未覆盖的留白。
3. 按威胁优先级补盲区。域环境优先补黄金票据、哈希传递这类高频攻击技术，冷门技术往后排。
4. 每次护网、演练后更新热力图，迭代优化。

只说“找差距”说不出具体工具和步骤，说明没有落地过。

35. 黄金票据攻击的完整ATT&CK映射

域环境进阶题，考域渗透理解。

• 凭证访问：T1003.003 Kerberos票据窃取（盗取KRBTGT哈希）
• 防御规避：T1550.003 伪造Kerberos票据（黄金票据本身）
• 权限提升：利用伪造票据获取域管理员权限
• 持久化：KRBTGT密码不改则票据长期有效，攻击者可随时回访
• 横向移动：用票据访问域内任意主机

黄金票据横跨多个战术，不属于单一凭证访问阶段。

36. 挖矿木马的ATT&CK映射

简单题，但很多人漏项。

• 执行：T1059.001 PowerShell执行挖矿程序
• 持久化：T1053.005 计划任务保活
• 命令与控制：T1041 与矿池通信，接收任务、上报算力
• 影响：T1490 系统资源耗尽，占满CPU与带宽

不要只写C2，持久化和影响都要覆盖。

37. ATT&CK融入SIEM规则体系的方法与价值

考体系化落地能力。
落地方式很简单：每条规则新增mitre_tactic、mitre_technique两个字段，告警触发时自动携带ATT&CK标签。狩猎查询也按技术分类。

三个实际价值：

• 统一团队语言。分析师交流直接说T1055，不用解释半天“进程注入的那个攻击”，效率高很多。
• 快速做Gap分析。按标签统计覆盖情况，找盲区一目了然。
• 护网报告标准化。给甲方、领导的攻击报告按ATT&CK战术列，专业度直接提升。

38. ATT&CK与杀伤链（Kill Chain）的区别

概念辨析题，很多人容易混。
杀伤链是洛克希德马丁提出的，分7步，线性结构，从侦察到交付到利用，按顺序推进。适合描述外部入侵完整流程，但对内网横向、持久化等阶段覆盖不足。

ATT&CK是MITRE推出的，按战术分类，非线性结构，攻击者可以跳步执行。比如拿到权限后，可以先持久化，也可以先抓凭证，还可以先横向，顺序不固定。更贴合内网攻击的实际情况。

目前行业内基本通用ATT&CK，杀伤链使用场景越来越少。

39. 如何用ATT&CK指导威胁狩猎

狩猎不能瞎搜，ATT&CK就是方向清单。
比如你要做横向移动方向的狩猎，就去ATT&CK里找横向移动战术下的所有技术：PsExec、WMI、RDP、SMB共享，逐个写狩猎查询去历史日志里检索。

不用自己凭空想攻击者会用什么方法，ATT&CK已经把已知TTP都列好了，照着补检测就行。

40. APT29常用攻击手法对应的ATT&CK技术

拓展题，看平时是否关注威胁情报。
APT29（钴熊）常用手法对应：

• 初始访问：T1566.001 钓鱼附件
• 执行：T1059.005 宏、T1218.005 Mshta
• 持久化：T1053.005 计划任务
• 凭证访问：T1003.001 LSASS转储
• 防御规避：T1027 混淆文件、T1218 系统二进制代理执行

不用死记，了解主流威胁组织的常用手法，面试说出来很加分。

四、威胁狩猎与应急响应综合题（10道）

威胁狩猎是高阶能力，社招3年以上、护网核心岗基本都会考。

41. 假设驱动的威胁狩猎定义与实例

狩猎的核心概念，必考题。
假设驱动就是先假设攻击者会用某种手法攻击你的环境，然后主动去日志里查找对应行为，验证假设是否成立。

举个例子：你假设攻击者会用certutil下载恶意文件，就写查询检索过去30天所有主机的certutil执行日志，筛选带URL参数的条目逐一核查。

和告警的区别：告警是规则告诉你有问题，狩猎是你主动找问题，挖掘规则未覆盖的威胁。

42. IOC与IOA的区别，狩猎中的用法

IOC是失陷指标，比如恶意IP、域名、文件哈希。静态特征，攻击者换个文件就失效。
IOA是行为指标，比如进程注入、凭证读取、远程下载。关注行为本身，不管用什么工具，只要做了这个动作就算。

狩猎里主要用IOA。隐蔽攻击一般没有已知IOC，靠IOC搜不到。比如新的勒索病毒，哈希还没进情报库，IOC匹配不到，但它加密文件的行为属于IOA，可以被检索到。

43. 护网内网出现未知IP横向的完整狩猎流程

实战大题，考完整狩猎思路。

1. 定边界。确认未知IP出现的网段、扫描的端口、访问的主机范围。
2. 找入口。追溯该IP最早出现时间，对应源IP、入口主机，定位最初被攻陷的机器。
3. 查行为。确认该IP的操作：是端口扫描、尝试登录，还是已成功执行命令。
4. 扩范围。排查整个内网是否存在其他类似未知IP，是否有其他主机被横向。
5. 定处置。封禁IP，隔离受感染主机，补充检测规则，防止再次入侵。

44. Webshell入侵后的应急响应步骤

经典应急响应题，必考。

1. 隔离处置。将被入侵Web服务器从业务链路摘除，或先封禁webshell访问IP，防止攻击者继续操作。
2. 清理后门。用扫描工具遍历网站目录，结合Web日志定位上传点和webshell路径，删除所有后门文件。
3. 定位入口。排查入侵路径：文件上传漏洞、后台弱口令、SQL注入等，修复对应漏洞。
4. 横向排查。检查服务器是否被当作跳板攻击内网其他主机，是否有凭证抓取、账号创建行为。
5. 持久化排查。检查计划任务、启动项、隐藏账号，防止删除webshell后攻击者仍可进入。
6. 业务恢复。加固服务器，更新检测规则，逐步恢复业务。

45. 域环境入侵的溯源核心思路

域环境入侵是最难的场景，也是高阶岗必考题。
溯源从后往前推：
先查域控的异常操作，确认攻击者在域控上的行为和使用的账号。
再找到横向到域控的源主机，排查该主机上的攻击行为和横向手法。
一步步往前倒推，找到第一台被攻陷的主机，定位初始入侵入口是钓鱼还是漏洞。
同时统计所有受影响的主机和账号，评估整体入侵范围。

46. 威胁狩猎的核心输出物

很多人以为狩猎完就结束了，其实狩猎必须落地成产出。
核心输出物有三类：

• 狩猎报告：写清假设、验证过程、发现的问题、影响范围。
• 新增检测规则：把新发现的攻击手法写成SIEM/XDR规则，实现后续自动检测。
• 威胁情报更新：将新发现的IOC、TTP更新到内部情报库。

狩猎的最终目的是提升整体检测能力，不是单次抓攻击。

47. 蓝队与红队的思维差异

开放题，考察岗位理解。
红队思维是找单点突破，想办法绕开防护、打进内网、拿到权限。只要有一个点突破就算赢。
蓝队思维是做全面防御，要覆盖尽可能多的攻击手法，只要有一个地方没防住、被打进来就算输。蓝队必须站在攻击者角度思考，“如果我是红队，我会从哪进来”，再针对性补防护。

简单说，红队找破绽，蓝队补短板。

48. 判断攻击者是否仍驻留系统的方法

研判中经常遇到的实际问题。
看四个核心点：

• 是否存在活跃C2连接，当前是否有长连接指向陌生境外IP。
• 是否有可疑后台进程、计划任务在运行，是否定时执行恶意指令。
• 是否有新增账号登录，是否存在非运维时段的登录行为。
• 是否持续出现新的文件上传、进程创建等恶意行为。

以上都没有的话，大概率攻击者已经离开，或留了后门但未激活。但只要后门存在就随时可能回访，必须彻底清除。

49. 威胁情报在狩猎中的作用

情报不是只用来匹配告警，狩猎里用处很大。

• 提供狩猎方向。比如近期新出某个勒索家族，情报披露了常用手法，就可以针对该手法开展狩猎，提前排查是否中招。
• 丰富研判上下文。狩猎到可疑行为，去情报库比对对应IP、域名、哈希，确认是否为已知攻击，降低研判成本。
• 预测攻击趋势。根据情报掌握近期流行的攻击手法，提前补充对应检测规则，防患于未然。

50. 蓝队分析师提升威胁狩猎能力的方法

终面常见开放题。
说落地方向，别喊空口号：

• 多练手。拿公开攻击样本日志、攻防演练日志，自己写查询反复练习，练多了就有敏感度。
• 懂攻击。不学红队手法做不好蓝队，得知道攻击者怎么干活，才能知道怎么找他。可以多打靶场、复现漏洞。
• 熟业务。不懂业务就分不清正常和异常，运维正常操作和攻击行为看起来很像，熟悉业务才能精准判断。
• 勤沉淀。每次狩猎、每次应急都记录手法，更新到规则库，能力慢慢就上来了。

没有标准答案，逻辑清晰贴合实际就加分。

以上50道题覆盖了蓝队从入门到高阶的所有核心考点，面试前过一遍，比背一周概念有用得多。

蓝队是实操岗，最终看的是解决问题的能力。规则写得再漂亮，误报压不下去就是没用；告警判得再快，漏了高危攻击就是失职。

最后留两个问题：
你面试蓝队的时候遇到过最刁钻的实操题是什么？评论区发出来，我补到题库里。
需要完整Sigma规则包和ATT&CK映射模板的，可以评论区扣1，后续整理好发出来。