2023奇安信天眼设备--面试题

1.在天眼分析平台网络协议中sip、dip、sport、dport字段表示的含义是什么？

sip 源IP、dip 目的IP、sport 源端口、dport 目的端口

2.在天眼分析平台DNS协议中dns type字段表示的含义是?

dns type表示DNS请求类型 0代表DNS请求，1代表DNS响应

3.dns_type中addr代表什么？

表示该host对应的IP地址信息；可能有多个记录

4.天眼可以捕捉到cmd命令嘛？

可以捕捉到远程执行的，比如攻击者远控你内网机器，执行cmd并返回结果

5.天眼告警可以显示的结果，除了成功和失败还有什么嘛？

成功、失败、尝试、未知

未知：一般是告警生成错误了，可以忽略

尝试：是可能成功也可能失败， 需要全部分析

6.内网横向有哪些告警类型？

cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解

内网主机对内部其他主机的攻击行为，该主机可能被黑客控制沦为跳板机，企图控制更多的内网其他主机

7.使用天眼，如何判断资产是否失陷？

受害资产不断外联恶意地址，受害资产有shell连接或者隧道类的告警

8.出现受害ip为源的时候是什么情况?

当网络攻击者使用IP欺骗或伪造技术时，可能会发生受害IP为源的情况

9.在天眼分析中，威胁告警检索字段中 attack sip 字段表示的含义是什么?

攻击者IP

10.在天眼分析平台中,proto字段表示的含义是? 举两个邮件应用协议的例子

proto表示协议，邮件应用协议有ETP POPIMAP

11.在天眼分析平台中，IOC代表什么含义、反映？

IOC表示匹配成功的威胁情报

IOC反映主机或网络失陷特征信息，包括入侵工具、恶意软件和攻击者的属性

12.天眼中搜索一个日志里指定的端口？想把两个端口连接在一起查询？

sport eq 80

sport eq 80 or sport eq 443

13.一个告警的目的ip是114.114.114，端口是53，这样的告警，我应该对他的ip和端口进行封禁吗?

不能封禁，明显是dns服务器转发的地址和端口，需要进一步确认真实受害资产的ip信息

14.在天眼分析平台中，如何搜索源IP为A，目的IP为B的网络日志?运算符(AND)是大写还是小写?

ip(A) AND dip(B)

运算符需要大写

15.在天眼分析平台中，运算符都有哪些？

AND OR NOT

16.天眼分析平台中，发件人的字段是什么？

from

17.天眼分析平台模糊搜索，应该怎么写查询语句?

直接在日志检索模块去搜索你要输入的关键字

使用*加部分名称进行检索

18.GEO字段代表什么？

代表ip对应的地理位置

19.不出网的主机通过哪种代理方式建立连接？

正向代理

20天眼能捕捉到0day吗？

可以，需要通过日志去分析挖掘

21.天眼里的小工具用过吗？

用过，可以做一些常见编码的解码等，比如base64解码、url解码