Skip to content

Разбор полетов с собесов

Что нужно подтянуть?

Темы для улучшения:

  • [ ] Больше примеров конкретных техник MITRE ATT&CK.
    Хоть я и правильно описал основные принципы атак, важно в разговоре на собеседовании ссылаться на конкретные техники MITRE ATT&CK, чтобы показать более глубокое знание этого инструмента для анализа атак. Изучить базовые техники, такие как T1071 (Application Layer Protocol) или T1070 (Indicator Removal). Это поможет более уверенно отвечать на вопросы, связанные с поведением атак.

  • [ ] Глубже в вопросы корреляции и настройки SIEM.
    Я хорошо объяснил корреляцию событий, но важно также углубиться в детали настройки SIEM-систем и продвинутые методы корреляции. Например, можно немного больше изучить поведенческий анализ и методы использования машинного обучения для корреляции событий.

  • [ ] Практическое применение инструментов.
    Если есть возможность, лучше попрактиковаться в реальных инструментах SOC, таких как SIEM-системы (например, Splunk, ELK), IDS/IPS (например, Suricata, Snort). Это даст реальное представление о том, как работать с этими системами в реальных условиях.

  • [ ] Анализ инцидентов на уровне более сложных атак.
    Для продвинутого уровня можно обратить внимание на сложные многоступенчатые атаки, например, на APT (Advanced Persistent Threat), и как их можно обнаружить и расследовать с помощью корреляции, анализа сетевого трафика и логов.

Дополнительно:

  • [ ] Механизмы атак: Разработка или использование эксплойтов, повышение привилегий, персистентность в системе.
  • [ ] Угрозы и уязвимости: Обновление знаний по наиболее актуальным уязвимостям и их эксплуатации.
  • [ ] Индекс угроз: Знание различных типов атак и угроз, с которыми приходится сталкиваться в SOC.