护网初级蓝队(监控研判岗)全套面经

一、面试整体情况

1. 岗位定位(初级蓝队 90%‑监控研判岗)

你的工作:7×24 小时轮班,查看 WAF、防火墙、EDR、SIEM 告警,区分真实攻击和误报,确认攻击后提交处置工单,由资深人员封禁 IP;简单日志分析、事件整理、写告警简报;初级人员一般不让你直接操作客户设备,所有操作必须经过甲方授权。

面试官考察核心:基础漏洞懂不懂、能不能看懂流量日志、做事守流程、能不能熬夜轮班、态度踏实。

2. 面试流程(20‑30 分钟)

  1. 自我介绍(1 分钟);
  2. 基础网络 + 安全漏洞提问(OWASP‑TOP10、中间件、工具);
  3. 场景问答(告警处置、应急响应、工作认知);
  4. 个人情况(能不能熬夜、出差、轮班、抗压);
  5. 反问环节。

二、自我介绍(直接背诵版,1 分钟)

版本(贴合你的背景:网安专业,自学渗透,做过日志异常检测项目,熟悉基础工具) 老师您好,我是xxx,现在大二网络安全专业。在校系统学习计算机网络、Web 安全、操作系统等课程;课余自学渗透测试,熟练使用 Burp Suite、Nmap、AWVS、Loglizer 等工具;之前做过日志异常检测的练习项目,能够看懂 Web 攻击流量、简单分析系统日志;熟悉 OWASP‑TOP10 漏洞原理和 Payload 特征,了解 WAF、EDR 的基础作用。 我清楚初级蓝队主要工作是告警研判、区分误报、上报安全事件,能够接受护网期间 7×24 小时三班倒,做事细心有耐心,遇到不确定的告警不会擅自操作,严格遵守先上报、授权后处置的流程,希望可以加入本次护网队伍,积累实战经验。谢谢老师。

禁忌:不要吹牛说会溯源反制、内网渗透;初级岗说这些面试官会追问很深,容易露馅。只突出:漏洞基础、工具、服从安排、能熬夜。

三、技术必考题(初级高频 + 标准答案,精简版)

模块 1:漏洞与告警研判(重中之重,必考)

问题 1:WAF 产生 SQL 注入告警,你怎么研判是不是真实攻击?

回答:

  1. 先查看 WAF 抓取的原始请求包:观察 URL 参数、POST 参数里有没有union selectand 1=1、单引号'or sleep(5)这类注入特征;
  2. 查看服务器响应包:如果响应内容爆出数据库表名、字段、数据,判定真实攻击;如果只是 URL 自带符号(比如文章标题带单引号)属于误报;
  3. 确认真实攻击后:截图留存证据,填写处置工单上报组长,我不会自行访问业务系统,必须甲方授权后再进一步验证,绝不修改数据库数据
问题 2:XSS 跨站脚本告警怎么判断真伪?

回答:

  1. 查看请求数据包里是否存在<script>、alert()、javascript:标签;
  2. 看响应体是否把恶意代码原样返回;代码成功返回 = 真实攻击;
  3. 若只是用户正常提交带有<>符号(留言、评论),只是页面做转义处理,判定为误报;
  4. 真实攻击就整理证据上报处置组封禁 IP。
问题 3:文件上传告警怎么判断是否上传成功?
  1. 查看请求体是否上传.php/.jsp/.aspx后缀文件;
  2. 看响应包是否返回 success、文件路径;能访问到上传的 webshell 文件即为攻击成功;
  3. 普通图片文件只是后缀被 WAF 规则命中则判定误报。
问题 4:说一说 OWASP‑TOP10 重点记住 4 个(初级只掌握这 4 个足够)

SQL 注入、XSS 跨站脚本、文件上传漏洞、命令执行漏洞。

问题 5:讲一下冰蝎、蚁剑的流量特征(必考题)
  • 蚁剑:请求包里面包含eval、base64 加密内容;
  • 冰蝎:流量采用 AES 加密,Cookie 或者 POST 参数里是加密密文,每次请求数据包内容变化; 初级岗位:我可以识别特征,发现这类流量就标记为高危告警并上报,我不会去连接 webshell。

模块 2:安全设备 & 工具(高频)

  1. WAF 的作用:防护 Web 攻击(SQL 注入、XSS、文件上传、命令执行),基于特征匹配识别恶意请求,拦截攻击流量。
  2. EDR(终端检测响应):部署在服务器、电脑上,监控异常进程、异常后门、恶意样本、注册表异常行为。
  3. SIEM:汇总 WAF、防火墙、服务器日志,集中告警展示。
  4. 你用过哪些工具:Nmap 端口扫描、AWVS 漏扫、Burp Suite 抓包改包、Loglizer 日志分析工具(贴合你的项目)。

模块 3:操作系统基础(基础问答)

  1. Windows 常用排查命令:tasklist查看进程、netstat -ano查看端口连接;
  2. Linux 排查命令:ps -ef查看进程、last查看登录日志、cat /var/log/secure查看登录日志、awk筛选异常日志;
  3. 永恒之蓝(MS17‑010):445 端口漏洞,攻击者利用它植入木马;看到大量 445 端口外联告警判定高危攻击。

模块 4:应急响应标准流程(固定话术,背熟)

  1. 发现告警;2. 提取数据包、日志进行研判;3. 判断事件等级;4. 上报项目负责人;5. 由授权人员进行 IP 封禁、漏洞修复;6. 整理事件报告、留存证据;7. 后续持续监控。

核心原则:初级人员严禁私自操作客户服务器,一切操作必须得到甲方授权

四、情景问答(软实力问题,护网非常看重)

Q1:遇到大量告警同时爆发,你怎么处理?

优先划分风险等级:高危(webshell、SQL 注入、命令执行)优先上报处理;低危的扫描行为(端口探测)统一整理之后分批上报,保证高风险事件优先处置。

Q2:区分不了告警是误报还是真实攻击怎么办?

我不会随意忽略告警,把原始数据包、日志截图整理好,把问题交给资深研判工程师,听从组长安排,绝不擅自关闭告警规则。

Q3:护网需要三班倒,深夜值班,会不会觉得很累?

我已经了解护网的工作模式,可以接受夜班,提前调整作息;夜班期间我会集中注意力,逐条查看告警,不会玩手机松懈,认真做好记录。

Q4:红队和蓝队思维有什么区别?

红队:寻找漏洞突破进去,只要一个漏洞成功就算胜利; 蓝队:防守所有入口,只要一处被攻破就算失败;我做蓝队就是细心排查每一条告警,不给红队可乘之机。

Q5:你作为候补队员,如果正式人员缺席,你可以随时顶上吗?

没问题,只要这边通知到位,我可以及时调整自己的课程和时间,全力投入护网工作。

五、反问面试官(面试最后必问,选 1‑2 条)

  1. 请问咱们团队护网期间,初级研判人员日常工作主要是监控哪几款安全设备?
  2. 后续护网结束之后,有没有内部复盘培训,帮助我们提升实战能力?

六、护网行动选拔笔试选择题(10 道,含答案 + 解析)

适用:护网红队 / 蓝队人员选拔基础笔试,覆盖等保、渗透、应急响应、漏洞、内网安全、法律法规、攻防基础

单选题(10 题)

  1. 依据《网络安全法》,关键信息基础设施运营者发生网络安全事件,应当立即向()报告。 A. 单位领导 B. 当地网信部门、公安机关 C. 上级业务主管单位 D. 行业协会答案:B解析:关键信息基础设施运营者遭遇安全事件,需同步上报网信与公安监管部门。

  2. 护网行动中蓝队核心职责不包含以下哪一项? A. 监测攻击流量、告警处置 B. 溯源红队攻击 IP、样本 C. 主动对外发起渗透测试 D. 漏洞封堵、应急加固答案:C解析:主动渗透属于红队工作,蓝队以防御、监测、应急溯源为主,禁止主动对外攻击。

  3. 下列哪种漏洞属于 OWASP Top1 高危漏洞,护网中最常被红队利用拿下网站权限? A. XSS 跨站脚本 B. SQL 注入 C. 文件上传漏洞 D. CSRF 跨站请求伪造答案:B解析:SQL 注入可直接脱库、获取管理员账号密码,是护网靶站最高发高危突破口。

  4. 等保 2.0 三级系统要求日志留存最低时长为? A. 30 天 B. 6 个月 C. 1 年 D. 90 天答案:D解析:等保三级规范明确安全日志、操作日志留存不少于 6 个月(180 天错误纠正:标准为 6 个月 = 180 天,修正选项调整,本题标准答案 6 个月) 修正标准答案:答案:B

  5. 内网护网场景下,攻击者拿下一台 Web 服务器后,用于内网横向移动、抓取主机账号密码的工具是? A. Nmap B. Mimikatz C. Wireshark D. BurpSuite答案:B解析:Mimikatz 专门抓取 Windows 内存明文凭证,用于横向渗透;Nmap 是扫描、Burp 是 Web 抓包、Wireshark 流量分析。

  6. 护网期间发现服务器出现大量对外 445 端口扫描行为,大概率攻击者利用哪个漏洞蠕虫传播? A. CVE-2017-0143(永恒之蓝) B. CVE-2021-41773(Apache 路径遍历) C. CVE-2022-26134(Log4j) D. CVE-2019-0708(永恒之黑)答案:A解析:永恒之蓝针对 SMB 445 端口,蠕虫式内网批量扩散,护网高频考点。

  7. Log4j 远程代码执行漏洞(CVE-2021-44228)触发核心利用协议是? A. LDAP B. FTP C. DNS D. RDP答案:A解析:漏洞通过构造恶意日志字段,访问外部 LDAP 服务加载恶意类实现远程代码执行。

  8. 下列哪项操作不符合护网期间应急处置规范? A. 隔离失陷主机,断开内网访问 B. 直接格式化业务服务器磁盘 C. 备份攻击流量、恶意样本、系统日志 D. 关闭高危端口、修复对应漏洞答案:B解析:直接格式化会销毁攻击取证数据,合规流程为先隔离取证,再清理修复。

  9. 针对单位办公系统部署 WAF(Web 应用防火墙),无法防御以下哪类攻击? A. SQL 注入 B. Web 文件上传木马 C. 内网 SMB 暴力破解 D. XSS 跨站攻击答案:C解析:WAF 仅防护 Web 七层业务,SMB 端口属于四层网络流量,由防火墙 / ACL 策略防护。

  10. 《关键信息基础设施安全保护条例》规定,关键信息基础设施每年至少开展几次网络安全检测评估? A. 1 次 B. 2 次 C. 季度 1 次 D. 半年 1 次答案:A解析:条例要求关键信息基础设施运营者每年至少一次全面安全检测、风险评估。

完整答案汇总

1.B 2.C 3.B 4.B 5.B 6.A 7.A 8.B 9.C 10.A

七、避坑红线(千万不要说)

  1. 不要说:我会手动入侵、尝试访问客户 webshell;初级人员绝对禁止,面试听到这句话直接淘汰;
  2. 不要说:告警看着没问题我就直接忽略;面试官会认为你工作敷衍;
  3. 不要夸大自己会内网提权、免杀制作;面试官深入提问很容易翻车;
  4. 不要抱怨熬夜辛苦、嫌轮班麻烦;护网最重要就是能吃苦。

八、精简考前速记版(10 条核心要点)

  1. 研判告警:看请求包 + 响应包,有 payload + 执行结果 = 真实攻击;
  2. 所有操作必须甲方授权,初级只负责上报,不执行配置操作;
  3. 熟悉 WAF、EDR、SIEM;熟悉 Burp、AWVS、Nmap;
  4. OWASP‑TOP10 重点:SQL 注入、XSS、文件上传、命令执行;
  5. 冰蝎 AES 加密流量;蚁剑多为 base64;
  6. 应急顺序:研判‑分级‑上报‑授权处置‑写报告;
  7. 告警太多优先处理高危攻击;端口扫描低危延后;
  8. 看不懂的告警全部交给资深工程师;
  9. 接受 7×24 小时轮班,夜班认真值守;
  10. 工作细心、服从团队安排。