1. XDR与EDR联动分析（APT攻击链）

场景：某终端EDR检测到可疑PowerShell脚本，如何通过XDR关联分析APT攻击？
答案要点：

• 终端侧：检查进程树（父进程是否为office程序）、脚本反混淆（提取IEX加载的恶意URL）

• 网络侧：通过XDR关联NDR数据，定位该终端发起的异常DNS隧道请求

• 横向移动：检索同一网段内其他终端的PsExec连接日志

• 数据渗出：检测压缩文件外传行为（如7z高频请求外部存储）

2. SIEM规则优化（降低误报率）

场景：HW期间SIEM频繁告警"暴力破解"，如何优化规则减少误报？
答案要点：

• 基于威胁情报过滤：排除VPN/合法扫描IP地址

• 复合条件检测：同一源IP在多个系统产生失败登录（而非单系统）

• 时间窗口统计：5分钟内超过30次失败登录且成功率为0%

• 基线对比：对比该IP历史行为模式（如首次出现跨国登录）

3. NDR与威胁情报集成（C2检测）

场景：如何通过NDR结合威胁情报识别新型C2通信？
答案要点：

• 实时匹配：DNS请求与威胁情报的域名信誉库（如DGA域名检测）

• 行为分析：周期性HTTP Beacon（固定时间间隔±10%抖动）

• JA3指纹库：比对已知C2框架（Metasploit/Cobalt Strike）的TLS指纹

• 机器学习：检测证书异常（如自签名证书有效期异常）

4. SOC效能KPI设计（HW量化评估）

场景：如何制定HW期间SOC团队的量化考核指标？
答案要点：

• 检测能力：MTTD（平均检测时间）≤15分钟

• 响应效率：MTTR（平均响应时间）≤30分钟

• 准确性：告警分类准确率≥95%（FP率＜5%）

• 覆盖度：ATT&CK技术点检测覆盖率≥80%

• 溯源深度：攻击链还原完整度（至少包含3个攻击阶段）

5. XDR检测0day漏洞利用（内存攻击）

场景：攻击者利用未公开的RCE漏洞进行无文件攻击，XDR如何检测？
答案要点：

• 终端侧：检测异常进程内存操作（如RWX权限区域动态生成shellcode）

• 网络侧：NDR捕获漏洞利用阶段的异常TCP载荷（如ROP链特征）

• 行为关联：漏洞利用后立即出现横向移动行为（如WMI远程执行）

• 沙箱联动：可疑样本自动提交至云端沙箱进行动态行为分析

6. NDR与防火墙策略联动（动态防御）

场景：NDR检测到内网横向渗透，如何自动调整防火墙策略？
答案要点：

• 生成微隔离策略：基于NDR流量画像创建最小化访问控制（如仅允许业务必要端口）

• 动态ACL更新：通过API实时下发规则阻断恶意IP（生存周期TTL=2小时）

• 失陷主机隔离：对检测到C2通信的主机启动网络隔离（VLAN切换）

• 策略有效性验证：持续监测拦截动作后的攻击者行为变化

7. HW攻击溯源（SIEM日志分析）

场景：攻击者清除日志后，如何通过SIEM进行攻击链重建？
答案要点：

• 多源日志关联：整合网络设备NetFlow、终端EDR、DNS解析日志

• 时间线重构：围绕失陷主机建立3小时窗口期的所有关联事件

• 威胁情报扩展：通过IP/域名反向查询关联历史攻击活动

• 攻击者画像：统计TTPs（如使用的C2框架、漏洞利用工具）

• 取证报告生成：自动提取IoC并生成STIX 2.1格式威胁情报