24年国护马上就要开始，基本上大部分蓝队红队都已经准备入场了

今年护网第一年变成常态化护网，由十五天突然变成了两个月常态化，导致今年护网有很多项目整的七零八落

博主今年参加了三家厂商蓝队护网面试，在这边分享一下护网面试经验，顺便做一下护网的面试总结（主要是蓝队的一个分享）

一、护网的岗位

 （1）监控（蓝队初级）

        监控岗位主要工作对态势感知（例如天眼、微步在线、青藤云、IPS、IDS等）进行一个实时监控，对响应的告警进行初步分析然后上报处理。

（2）研判（蓝队中级）

        研判岗位主要工作是对监控岗位提交的态势感知告警进行一个针对性的分析，分析告警是否为真实攻击，同时判断攻击类型，攻击影响范围

（3）溯源（蓝队高级）

        溯源岗位主要工作是对研判岗位研判结果进行一个溯源反制，如果研判结果是真实攻击，溯源进行一个反向，然后找到攻击来源，找到攻击路径，找到攻击者，找到文件落地点等

（4）应急

        发现真实攻击后为了应对各种意外事件的发生所做的准备以及在事件发生后所采取相应的措施。

        准备阶段：人员，工具，服务需求和方案，服务合同或协议。
        检测阶段：对网络安全事件做出初步的动作和响应，预估事件的范围和影响程度，制定进一步的响应策略。
        抑制阶段：限制攻击范围，抑制潜在的攻击和破坏。
        根除阶段：通过有关恶意代码和行为的分析，找出导致网络安全事件发生的根源，并彻底消除。
        恢复阶段：恢复网络安全事件所涉及到的系统，还原至正常状态。
        总结阶段：回顾整个过程，整理相关信息，进行总结，记录到文档中。

二、面试流程

     （1）笔试

                笔试这个不是所有的厂商都有，个别的厂商会有笔试环节，分为监控研判溯源应急的题目，一般半开卷形式，及格后可以参加面试

     （2）厂商面试

                厂商会初步对你的能力和等级进行一个简单评估和定级，面试内容基本上包括十大漏洞，流量信息，常用态势感知，应急流程，漏洞挖掘思路，项目经验等。厂商面试完会初步定级，然后推荐给需要的客户。

    （3）客户面试

                根据厂商的推荐，客户对其进行一个针对性工作面试，内容范围跟厂商面试差距不大，但是客户面试的内容会相应深入一点，问的内容多丰富一点

三、入场

        在面试全都通过以后，一般会提前进入项目熟悉相应流程，会安排到相应岗位，简单梳理工作

        蓝队在护网之前会梳理甲方资产，简单做一个漏扫，对甲方项目自身存在从问题简单的进行一个排查，为接下来的护网做准备

        各个岗位对护网期间可能发生的问题进行模拟，熟练流程，对应到来的护网