【转】浅谈威胁狩猎(Threat Hunting)
admin
2024-02-28 04:50:27
0

顾名思义,威胁搜寻就是在网络安全世界中寻找威胁。威胁每天都在变化。因此,我们有责任开发新技术来防御和检测各种类型的威胁和攻击。

从威胁搜索的定义开始,以主动和被动的方式在网络中搜索高级威胁以避免安全解决方案的过程。

威胁狩猎不是一种技术,而是一种方法。作为一名安全分析师,威胁搜寻是为了有效地利用我们只发现网络环境中的任何异常情况。

威胁猎人使用批判性思维和创造力来查看正常网络行为和识别异常行为。

一、为什么要做威胁狩猎?

在传统的安全监控方法中,大多数蓝色团队成员根据SIEM或其他安全设备触发的警报来查找威胁。除了警报驱动的方法之外,为什么我们不能添加一个连续的过程来从数据中查找内容而没有任何警报提示我们发生呢?这是威胁搜索的过程,在网络中主动搜索威胁。您可以使用此过程查找现有安全解决方案无法识别的威胁或绕过该解决方案的攻击。因此,为什么它不能作为一个报警驱动器来驱动?原因是警报驱动程序主要是数字模式,而不是行为模式。

二、如何产生假设?

只需阅读文章、安全新闻、新APT公共报道、推特和一些可用的安全网站。威胁搜寻在各种数据源(例如,端点、网络、外围设备等)上执行。)。它只有效地利用我们的知识来发现异常。批判性思维能力是必需的。由威胁指数(IOC)组成的威胁情报在狩猎中也发挥着重要作用。

三、MITER ATTCK辅助威胁猎捕

大多数威胁搜索平台使用“攻击MITRE”对手模型。Mitertck是一个基于现实世界观察的对抗战术和技术的全球知识库。Attack MITER还提出了一个名为“CAR”的网络分析存储库。斜接的团队列出了所有这些对手的行为,以及攻击者在受害机器上执行的攻击媒介。它为您提供了基于历史爆发的威胁描述和一些参考。它使用TTP的策略、技术和程序,并将它们映射到网络杀人链。大多数威胁搜索方法使用Mitre框架来执行搜索过程。

四、实现威胁猎捕

现在,要执行搜索,我们需要做出假设,在生成假设后,我们可以根据使用的任何平台搜索攻击。为了检验这个假设,你可以使用任何可用的工具,比如Splunk、ElStack等。但请在开始狩猎前妥善保存数据。弗洛里安·罗斯(Florian Roth)提出了一种新的通用格式SIEM签名西格玛。大多数mitreatck技术都映射到Sigma规则,这些规则可以直接整合到您的SIEM平台中,用于威胁搜索。西格玛也可以转换成Splunk、arcsight、ELK。

为西格玛规则转换准备的列表可以在谷歌的工作表上找到:

五、威胁狩猎

1、在Word或excel文件中运行用于哈希转储的mimikatz命令打开PowerShell要检查此假设,首先查找数据,如果我们有合适的数据来查找此假设,然后查找创建powershell.exe的winword.exe/Execl. Exe进程和包含(mimikatz)的命令行。

2、从互联网下载文件-在certutil.exe和hh.exe,从互联网而不是浏览器中查找下载文件的过程可以是相同的。

3、Powershell下载支持event _ data . command line:(* powershell * * pwsh * * syncappvppublishing server *)和event _ data . command line:(* bittransfer *)web client * * DownLoad file * * download string * * wget * * curl * * web request * * WinHttpRequest * iwr IRM ” * Internetexplorer。应用* ” ” * Msxml 2 . xmlhttp * ” ” * Msxml 2 . serverxmlhttp * ”

六、机器学习和威胁猎捕

machine learning在寻找网络威胁方面发挥着重要作用。各种算法,如分类、聚类等。可用于根据SIEM中的日志识别任何类型的异常和异常值。机器学习在帮助发现威胁方面起着辅助作用,因为它为我们提供了异常值,分析师将进一步投资发现威胁。

相关内容

热门资讯

解密科技赛道超额收益!顶尖基金... 2026年以来A股结构性行情极致演绎,主动权益基金业绩严重分化。数据显示,截至7月3日,主动权益基金...
证券板块为什么是“股市风向标”... 资本市场的长期投资价值对于证券公司的长期投资价值具有显著的正向带动作用。从收入构成中我们能够看到证券...
原创 年... 46% 的 Z 世代、35% 的千禧一代,延后了买房、结婚、生育这些人生重大决策。 听起来有点惨,但...
消息称SambaNova融资1... IT之家 7 月 8 日消息,据彭博社稍早前消息,AI 芯片企业 SambaNova 即将在当地时间...
利好突袭!A股盘中,直线拉升!... 云计算概念股异动! 今日(7月8日),云计算概念股集体拉升,板块指数涨幅超过4%,浪潮信息一字涨停,...
原创 传... 这几年喊了多年的美元霸权衰落,终于不再是空话。美国自己急得团团转,四处找新的货币锚点,还真折腾出几个...
韩国股市跌入技术性熊市,监管紧... 韩国股市正面临今年以来最严峻的考验,基准指数KOSPI从历史高点下跌20%,进入技术性熊市门槛,监管...
原创 美... 网上一直流传着一组扎心数据,即:中国居民可支配收入仅占GDP的比例45%左右,而美国却高达75%以上...
AI休整期不悲观,某些板块底部... 继续普调,严重缩量! 今日沪指跌1.26%、创业板跌0.94%、科创综指跌0.18%; 全天成交额...
知名经济学家高善文去世,曾预判... 出品|搜狐财经 作者|汪梦婷 7月7日,知名经济学家、原国投证券首席经济学家高善文不幸去世,享年55...
20万份文件泄密,苹果被坑惨了 苹果的机密在印度代工厂塔塔电子大面积泄露后,坐不住的不仅是库克,还有新德里的高官们。 当地时间7月2...
起点订购APP贵金属订购交易欺...   互联网上充斥着白银、铂金、铜等现货贵金属投资公司的宣传,通过不实的贵金属现货APP吸引投资者,但...
全新易购APP高额手续费的期货...   全新易购APP白银铂金现货订购出现严重的损失,投资者在这个平台根本赚不到钱,开始还好,后面的交易...
银行板块震荡上扬 中国银行等股... 观点网讯:7月8日,银行板块震荡上扬,中国银行、农业银行、建设银行、成都银行、工商银行等股纷纷上扬。...
AI Agent进入深水区:企... AI Agent从技术概念走向商业落地,企业付费意愿成为检验产品价值的唯一标准。过去两年大量AI创业...
一通智投APP内幕交易欺骗投资...   一通智投APP虚假现货订购交易为非法期货,投资者被宣传广告给诱导,下载了一通智投APP,结果在这...
港股科技股全线大涨!跌多了是基... 港股市场近日整体有明显反弹的科技股今日再度集体走强,恒生科技指数拉升涨超3%。个股中,联想涨超8%,...
一场博览会,看透低空经济风口全... 文丨许佳慧 低空经济风起,谁是真正的弄潮儿? 【观赛道:题材风口开启,全链布局成型】 低空经济有多火...
黄金单边牛市没那么快回来?预测... 黄金这波反弹刚冒头,没人敢直接砸重仓赌方向。Polymarket上的交易显示,黄金7月触及4300美...
超颖电子布局“A+H”:一季度... 瑞财经 吴文婷7月6日,超颖电子发布公告称,为满足公司业务发展需要,深入推进国际化战略,打造国际化资...