浅谈威胁狩猎

在传统的安全监视方法中，大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。 除了警报驱动的方法之外，为什么我们不能添加一个连续的过程来从数据中查找内容，而没有任何警报促使我们发生事件。 这就是威胁搜寻的过程，主动寻找网络中的威胁。 可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。 因此，为什么不能将其驱动为警报驱动，原因是警报驱动主要是某种数字方式而非行为方式。

威胁狩猎的方法：

• 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。
• 对于威胁猎人而言，保持最新的安全研究非常重要。
• 自动化/机器辅助-分析师使用利用“机器学习”和“ UEBA”功能的软件来告知分析师潜在风险。
• 它有助于提供预测性和规范性分析。
• 威胁情报源增加了分析。

二、如何进行猎捕?

请遵循以下提到的步骤：

• 建立假设–假设意味着您要查找的内容，例如查找与Internet等建立连接的powershell命令。
• 收集数据–根据假设，更加狩猎查找您需要的数据。
• 测试假设并收集信息–收集数据后，根据行为，搜索查询来查找威胁。
• 自动化某些任务–威胁搜寻永远不能完全自动化，而只能是半自动化。
• 实施威胁搜寻–现在，不执行即席搜寻，而是实施您的搜寻程序，以便我们可以连续进行威胁搜寻。

三、如何产生假设?

只需阅读文章，安全新闻，新的APT公开报告，Twitter和一些安全网站可获得。 威胁猎捕是对各种数据源(例如端点，网络，外围等)执行的。它只是有效地运用我们的知识来发现异常。 需要批判性思维能力。 由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。

四、MITER ATT&CK辅助威胁猎捕

大多数威胁猎捕平台都使用“ Attack MITRE”对手模型。 MITER ATT&CK™是基于现实世界观察结果的全球对抗性战术和技术知识库。 Attack MITER还提出了一个名为“ CAR”的网络分析存储库。 MITER团队列出了所有这些对手的行为，并且攻击者在受害机器上执行的攻击媒介。 它基于历史爆发为您提供了描述以及有关威胁的一些参考。 它使用TTP的战术，技术和程序，并将其映射到网络杀伤链。 大多数威胁猎捕方法都使用M

（编辑：漯河站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!