奇安信天眼面试题

最新推荐文章于 2025-04-30 13:54:36 发布
最新推荐文章于 2025-04-30 13:54:36 发布
阅读量395 收藏 4
点赞数 5
分类专栏: 奇安信 文章标签: 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengquan_1024/article/details/146018470
版权
1天眼设备上线过程的关键配置项有哪些?系统时间、网络配置、许可证管理、升级配置、联动配置、ES配置
2流量传感器镜像流量注意事项有哪些?双向流量、如内网有dns、代理和nat设置需要在镜像中体现客户端到对应设备的流量、不能超过传感器的处理上限
3分析平台添加流量传感器后,如何通过分析平台"仪表板"-“系统维护”-“设备管理”中的 流量传感器 数据通道和存活状态 判断流量传感器添加是否成功?数据通道:传感器---当前时间之前半个小时内,有tcpflow和dns日志写入es则显示正常。文件威胁鉴定器-半小时内有告警数据入es则显示绿色正常。否则为红色无数据。

存活状态:需要确保分析平台、传感器和沙箱的snmp配置一致且snmp网络端口可达,则存活状态绿色正常否则红色异常。
4天眼设备遗忘的管理地址无法管理该如何处置?1.外接显示器或者串口线连接,然后通过受限shell admin账户查看  skyeye360# show interface

2.流量传感器、分析平台、文件威胁鉴定器管理口都为eth0-eth3,分别对应的默认管理地址为https://192.168.0.1、https://192.168.1.1、https://192.168.2.1、https://192.168.3.1 可以尝试以上地址连接。
5天眼设备授权证书过期后的影响有哪些? 商用版(正式版)证书过期后仅影响升级功能,试用版证书过期后设备无法正常工作,仅能访问到导入证书页面。
6天眼设备如何数据清除&恢复出厂?连接显示器,登陆shpass账号,通过Factory reset来恢复出厂
shpass   Qax-tss-$%^($720(该账号必须使用显示器登录)
部分产品可以直接在web管理页面选择恢复出厂即可
7流量传感器向分析平台主要传输哪些数据内容?1.威胁告警:网页漏洞利用、webshell上传、网络攻击、威胁情报
2.网络日志:网络协议流量日志、网络协议行为日志等
8天眼设备上线后无威胁告警产生该如何处置?1. 传感器无告警问题分析
1.1 检查接入流量:(1)通过传感器web管理页面-状态监听,查看网络流量是否正常(2)检查镜像的流量是否为双向流量(3)检查是否配置流量过滤
1.2 检查检测规则:(1)检查威胁检测开关是否打开(2)检查检测规则是否存在并开启
1.3 检查系统版本&规则版本是否为最新

2. 分析平台无告警问题分析
2.1 检查传感器&分析平台联动配置:(1)检查传感器传输规则配置的传输内容、传输对象是否配置正确 (2)检查传感器和分析平台两端的加密算法和加密秘钥是否一致  (3)检查流量传感器传输日志白名单的配置是否正常,存在白名单的日志将不会发送至分析平台
2.2 检查分析平台:(1)检查运营配置-告警展示配置
通过分析平台web管理页面-系统配置-基础配置,检查告警展示配置中采集设备、攻击结果、攻击类型配置是否正确 (2)检查告警是否加白 (3)分析中心-日志检索无告警检查ES集群   若分析中心-日志检索无告警,需要检查ES集群是否正常
9天眼一体机接入客户网络的部署方式有哪几种,有何区别?一体化整机提供三种网络配置方案:标准模式、软交换模式、NAT模式,以适应可能遇到的不同的网络环境限制,如只提供单跟接交换机的网线给整机、只提供单个客户环境IP地址给整机等。

假设一体化设备内置节点数量为n,1系节点数量1,3系节点数量为2,5系节点数量为3,最多扩展节点数量为4。
一 标准模式
整机对外通信需要n根网线,n个客户环境IP地址。
同标准天眼产品网络配置,每个节点板有独立外部网线和客户环境IP地址。
二 软交换
整机节点对外通信需要1根网线,n个客户环境IP地址。
威胁分析模块的4个GE口配置为2层工作模式(switch模式),一口连接客户环境网络,另外三口连接机箱内其他节点。
威胁分析模块共5个口,四个物理网口(switch模式),一个虚拟口mgt(router模式)。
三 NAT
整机节点对外通信需要1根网线,1个客户环境IP地址,模块内部通信需要n-1个内部地址。
威胁分析模块1个GE口配置为3层工作模式(router模式),另外3个GE口(eth1,eth2,eth3)配置为2层工作模式(switch模式),通过iptables NAT转发外部访问机箱内其他节点的流量。
威胁分析模块共5个口,四个物理网口(连接外网的网口为router模式,其他三个为switch模式),一个虚拟口mgt(router模式)。
10天眼系统刚上线时应该如何设置旁路阻断功能对现网业务影响较小?当系统刚上线试运行旁路阻断功能时,建议分几个阶段逐步配置旁路阻断。
步骤1:建议通过分析平台开启观察模式,开启后产生阻断日志但是系统不执行阻断动作,可以观察分析阻断日志来评估阻断的效果和影响。
步骤2:步骤1执行一段时间,确认阻断日志在可控范围内时,可以关闭观察模式,开启黑名单配置。配置黑名单后,只有配置了阻断(或封禁)策略,且同时命中黑名单的配置后,系统才执行阻断动作。在刚上线阶段可以先配置阻断策略(或封禁策略),逐步添加黑名单,当运行一段时间确认阻断效果和影响范围后,再删除黑名单。
步骤3:步骤2执行一段时间,确认阻断效果和影响范围后,可以删除黑名单。后续可以自行开启或者关闭阻断策略、配置封禁策略、配置自动封禁策略,同时可以搭配白名单使用。在没有黑名单的情况下,命中白名单的流量系统不执行阻断对其放行。注意黑名单的优先级最高,当黑名单有配置的时候白名单将失效。
2023奇安信天眼设备--面试题
人若无名,便可专心练剑
08-04 5019
9.在天眼分析中,威胁告警检索字段中 attack sip 字段表示的含义是什么?不能封禁,明显是dns服务器转发的地址和端口,需要进一步确认真实受害资产的ip信息。sip 源IP、dip 目的IP、sport 源端口、dport 目的端口。可以捕捉到远程执行的,比如攻击者远控你内网机器,执行cmd并返回结果。当网络攻击者使用IP欺骗或伪造技术时,可能会发生受害IP为源的情况。用过,可以做一些常见编码的解码等,比如base64解码、url解码。0代表DNS请求,1代表DNS响应。代表ip对应的地理位置。
奇安信全流量(天眼面试题
persist213的博客
03-18 851
内置超4万条入侵检测规则(如CVE漏洞利用特征),实时匹配流量中的攻击行为,例如检测永恒之蓝漏洞(MS17-010)的SMB协议异常。:对可疑文件(如Office文档、压缩包)在虚拟环境中执行,监控进程创建、注册表修改、网络连接等异常行为,识别无特征恶意代码。:支持HTTP、DNS、SMTP、SMB等40余种协议解码,覆盖Web攻击、文件传输、邮件通信等场景,实现全流量元数据提取。:独立部署沙箱模块,对传感器提交的可疑文件(如PE文件、脚本)进行动态行为分析,检测未知恶意代码。
奇安信天眼_探针/分析平台部署及联动
热门推荐
呦菜呦爱玩的博客
03-10 1万+
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。一般仅需分析平台,流量传感器(探针)这2台设备配合使用。天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台。
奇安信合规一体机面试题
chengquan_1024的博客
02-25 355
奇安信合规一体机面试题
奇安信 (原360企业安全)实习生面经
舌耳的博客
04-08 6160
岗位: 网络工程师(安全方向) 笔试:赛码平台 涉及内容 网络原理,数据结构,linux,最后两个编程 一面(视频面): 面试官在机房忙,简单问了一下,时间没超过十分钟。 第一个问题,问了一下你认为的运维是做什么(我说了下系统运维和网络运维这两个我的理解,说的不太好) 第二个问题,都掌握哪些技能(cisco CCNP课程 ,linux redhat的rhce,python she...
奇安信(2019笔试题)
郑丹丹的博客
09-17 1万+
40道选择(40分) 2道编程 (60分) 1. 队尾幸运编号 时间限制:C/C++语言 1000MS;其他语言 3000 MS 内存限制:C/C++ 语言65536KB;其他语言 589824KB 题目描述 N个人排成一队,从1到5轮流报数,报5的人是幸运者,出列。报到队尾后,从队首接着报。依此循环。 问:排在队尾的人是第几名幸运者? 注:N为小于100000的正整数。 例如: 1人排成一队,...
HW面试题
weixin_67503304的博客
09-26 3492
护网,重保面试实录
HW面试题(面试看此完全足够)
09-15
使用到的安全设备包括蜜罐、WAF(Web应用防火墙)、IDS(入侵检测系统)、IPS(入侵防御系统)、以及其他如腾讯天幕和奇安信天眼等。 2. 资产梳理与安全准备:在进行安全测试前,需要对甲方的资产进行收集和梳理,...
网络安全相关面试题(hw)
XLbb的博客
05-23 1557
7、敏感信息收集,如 github 源码、用 7kb、破壳扫源代码泄露(.hg、.git、cvs、svn、.DS_store 源代码泄露)、google hack、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟馗之眼、天眼查、威胁情报、微步在线等。3、可以使用 D 盾_web 查杀工具、火绒剑、 XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存资源占用长时间过高的进程)
护网的一些面试题
my_wxj的博客
04-25 488
linux:删除无用账号、配置密码策略(复杂度、过期时间)、限制su命令使用、限制ssh远程登陆root、减少命令记录数(.bash_history)、升级内核版本。(2)加固服务器:对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等。(3)权限管理:加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。(1)配置防火墙:配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件。
面试题个人总结(面经)
weixin_65582330的博客
03-03 1078
你好,我叫XXX,是今天面试初级蓝队的人员,我毕业于XXXX,专业为网络空间安全,我曾经在XXXXX实习过,有过大概一年左右的工作经验,还有过一定的护网经验,去年在奇安信厂商护过网,在监测岗(在流量传感器中监测告警信息和恶意流量,发攻击ip到封禁群里,通知每日的告警数量并整理),在专业上我熟悉基本的漏洞类型,如:SQL注入、XSS、CSRF、SSRF、文件上传等漏洞,熟悉sqlmap,burpsuite,wireshark、msf、cs等渗透工具使用。它是一种过滤器,可以作为一个中间流来过滤其他的数据流。
奇安信线上认证训练营测试题及答案-1
Sumarua的博客
06-26 6607
奇安信线上认证训练营测试题及答案 数据中心-练习题-day1 网站群安全-练习题-Day1 网站群安全-练习题-Day2 网站群安全-练习题-Day3 网站群安全-练习题-Day4
奇安信:笔试题(20190909)
王山山
09-12 4661
结束进程树 输入很难处理,没有给定每行数字的个数。这里采用全盘接收了再按情况分割放入容器内。 #include <iostream> #include <vector> #include <deque> using namespace std; int kill_sub_process(vector<int> child, vector<i...
2020奇安信模拟笔试
lrpcmp的博客
03-05 1708
1.有 ABCDEF 六个城市,每一个城市都和其他所有城市直接相连,问从 A — B 有多少种连接方式,路径不允许在两个城市之间往返。 A 78 B 65 C 43 D 其他选项都不对 ...
芯片软错误概率探究:基于汽车芯片安全设计视角
最新发布
ANSILIC的博客
04-30 858
本文深入剖析了芯片软错误概率问题,结合 AEC-Q100 与 IEC61508 标准,以 130 纳米工艺 1Mbit RAM 芯片为例阐述其软错误概率,探讨汽车芯片安全等级划分及软错误对汽车关键系统的影响,分析先进工艺下软错误变化趋势,并提出相应的应对策略,旨在为芯片在汽车等安全关键领域的应用提供理论参考与实践指导,保障电子系统可靠性。
基于STM32、HAL库的ATECC608B安全验证及加密芯片驱动程序设计
corlin6688的博客
04-29 170
注意:ATECC608B的I2C地址通常是0x60(7位地址)基于硬件的高安全性加密算法。ECC P-256加密引擎。真随机数生成器(TRNG)I²C接口(最高1MHz)低功耗设计,适合物联网应用。SHA-256哈希算法。16KB安全存储空间。
硬件加密+本地部署,大模型一体机如何打造AI安全护城河?
AIwenIPgeolocation的博客
04-28 458
大模型一体机的安全价值,不仅在于技术层面的创新,更在于其推动了一种“安全即服务”的生态模式。例如,埃文科技重磅推出基于华为昇腾算力DeepSeek大模型的企业一体机产品,提供DeepSeek多版本大模型一体机选择,为企业提供本地昇腾算力+DeepSeek大模型+RAG知识库的一体化解决方案。本文将从硬件安全、数据隐私、模型防护、合规保障四大维度,解析大模型一体机如何构建AI时代的“安全护城河”。数据显示,近九成企业部署的大模型服务器存在“裸奔”隐患,数据泄露、模型篡改、算力劫持等问题频发。
基于STM32、HAL库的DS2401P安全验证及加密芯片驱动程序设计
corlin6688的博客
04-28 271
1 |--DATA---------->| GPIO (配置为开漏输出)// 检测存在脉冲(设备应在60-240us内拉低总线)// 初始化DS2401P,使用GPIOB, PIN5。// 发送读取ROM命令 (0x33)// 微秒级延迟函数(需要根据系统时钟配置)// 释放总线(上拉电阻将拉高)工作温度范围:-40°C至+85°C。// 配置为开漏输出,无上拉。// 拉低总线至少480us。// 打印ROM信息。// 发送复位脉冲并检测存在脉冲。// 读取DS2401P的ROM。
奇安信天眼系统的特点与优势
05-12
奇安信天眼系统是一种全面的网络安全监测解决方案,其特点与优势主要包括以下几个方面: 1. 全面性:奇安信天眼系统可以监测企业内部网络和外部网络,涵盖多种威胁类型,如APT攻击、DDoS攻击、僵尸网络、木马病毒等,能够全面保障企业网络安全。 2. 精准性:奇安信天眼系统具有智能化的安全分析能力,能够快速准确地发现和分析网络安全事件,及时提供预警和响应。 3. 高效性:奇安信天眼系统采用分布式架构,可以快速处理大量的网络数据和安全事件,提高了安全事件处理的效率和准确性。 4. 易用性:奇安信天眼系统提供了友好的用户界面和操作指南,使得安全人员可以方便地使用和管理系统,提高了工作效率。 5. 可靠性:奇安信天眼系统采用多层次的安全防护措施,能够有效地保护系统免受攻击和数据泄露,为企业提供可靠的安全保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值