11家公司放出了上千个网络安全岗位

球有的催促下，25届春招第一版整理的招聘信息已经在星球里面了（先做一坨出来，大家先用，我再来优化），就在我们的网安面经里面哈。

后面每周都会更新1-2次。也会在星球中通知大家的（别设静音哦）

再来说一下面经哈，里面不仅各种技术面试题，还有各个企业过往面试的真实场景。

网络安面试题库截止目前已更新78篇，近18w字，里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。文末有彩蛋

最近参加面试的小伙伴都反馈面试总总会问到护网经验和里面产品的理解和使用，其实咱们星球中对各种安全设备都做了详细的讲解，我们针对安全设备的面试题也做了更新，来看看这几个你会不会。

1. XDR与EDR联动分析（APT攻击链）

场景：某终端EDR检测到可疑PowerShell脚本，如何通过XDR关联分析APT攻击？
答案要点：

• 终端侧：检查进程树（父进程是否为office程序）、脚本反混淆（提取IEX加载的恶意URL）
• 网络侧：通过XDR关联NDR数据，定位该终端发起的异常DNS隧道请求
• 横向移动：检索同一网段内其他终端的PsExec连接日志
• 数据渗出：检测压缩文件外传行为（如7z高频请求外部存储）

2. SIEM规则优化（降低误报率）

场景：HW期间SIEM频繁告警"暴力破解"，如何优化规则减少误报？
答案要点：

• 基于威胁情报过滤：排除VPN/合法扫描IP地址
• 复合条件检测：同一源IP在多个系统产生失败登录（而非单系统）
• 时间窗口统计：5分钟内超过30次失败登录且成功率为0%
• 基线对比：对比该IP历史行为模式（如首次出现跨国登录）

3. NDR与威胁情报集成（C2检测）

场景：如何通过NDR结合威胁情报识别新型C2通信？
答案要点：

• 实时匹配：DNS请求与威胁情报的域名信誉库（如DGA域名检测）
• 行为分析：周期性HTTP Beacon（固定时间间隔±10%抖动）
• JA3指纹库：比对已知C2框架（Metasploit/Cobalt Strike）的TLS指纹
• 机器学习：检测证书异常（如自签名证书有效期异常）

4. SOC效能KPI设计（HW量化评估）

场景：如何制定HW期间SOC团队的量化考核指标？
答案要点：

• 检测能力：MTTD（平均检测时间）≤15分钟
• 响应效率：MTTR（平均响应时间）≤30分钟
• 准确性：告警分类准确率≥95%（FP率＜5%）
• 覆盖度：ATT&CK技术点检测覆盖率≥80%
• 溯源深度：攻击链还原完整度（至少包含3个攻击阶段）

5. XDR检测0day漏洞利用（内存攻击）

场景：攻击者利用未公开的RCE漏洞进行无文件攻击，XDR如何检测？
答案要点：

• 终端侧：检测异常进程内存操作（如RWX权限区域动态生成shellcode）
• 网络侧：NDR捕获漏洞利用阶段的异常TCP载荷（如ROP链特征）
• 行为关联：漏洞利用后立即出现横向移动行为（如WMI远程执行）
• 沙箱联动：可疑样本自动提交至云端沙箱进行动态行为分析

6. NDR与防火墙策略联动（动态防御）

场景：NDR检测到内网横向渗透，如何自动调整防火墙策略？
答案要点：

• 生成微隔离策略：基于NDR流量画像创建最小化访问控制（如仅允许业务必要端口）
• 动态ACL更新：通过API实时下发规则阻断恶意IP（生存周期TTL=2小时）
• 失陷主机隔离：对检测到C2通信的主机启动网络隔离（VLAN切换）
• 策略有效性验证：持续监测拦截动作后的攻击者行为变化

7. HW攻击溯源（SIEM日志分析）

场景：攻击者清除日志后，如何通过SIEM进行攻击链重建？
答案要点：

• 多源日志关联：整合网络设备NetFlow、终端EDR、DNS解析日志
• 时间线重构：围绕失陷主机建立3小时窗口期的所有关联事件
• 威胁情报扩展：通过IP/域名反向查询关联历史攻击活动
• 攻击者画像：统计TTPs（如使用的C2框架、漏洞利用工具）
• 取证报告生成：自动提取IoC并生成STIX 2.1格式威胁情报

星球介绍

一个人走的很快，但一群人才能地的更远。吉祥同学学安全这个成立了1年左右，已经有300+的小伙伴了，如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt，戳快加入我们吧。系统性的知识库已经有：++++++++