顾名思义，威胁搜寻就是在网络安全世界中寻找威胁。威胁每天都在变化。因此，我们有责任开发新技术来防御和检测各种类型的威胁和攻击。

从威胁搜索的定义开始，以主动和被动的方式在网络中搜索高级威胁以避免安全解决方案的过程。

威胁狩猎不是一种技术，而是一种方法。作为一名安全分析师，威胁搜寻是为了有效地利用我们只发现网络环境中的任何异常情况。

威胁猎人使用批判性思维和创造力来查看正常网络行为和识别异常行为。

一、为什么要做威胁狩猎?

在传统的安全监控方法中，大多数蓝色团队成员根据SIEM或其他安全设备触发的警报来查找威胁。除了警报驱动的方法之外，为什么我们不能添加一个连续的过程来从数据中查找内容而没有任何警报提示我们发生呢？这是威胁搜索的过程，在网络中主动搜索威胁。您可以使用此过程查找现有安全解决方案无法识别的威胁或绕过该解决方案的攻击。因此，为什么它不能作为一个报警驱动器来驱动？原因是警报驱动程序主要是数字模式，而不是行为模式。

二、如何产生假设?

只需阅读文章、安全新闻、新APT公共报道、推特和一些可用的安全网站。威胁搜寻在各种数据源(例如，端点、网络、外围设备等)上执行。)。它只有效地利用我们的知识来发现异常。批判性思维能力是必需的。由威胁指数(IOC)组成的威胁情报在狩猎中也发挥着重要作用。

三、MITER ATTCK辅助威胁猎捕

大多数威胁搜索平台使用“攻击MITRE”对手模型。Mitertck是一个基于现实世界观察的对抗战术和技术的全球知识库。Attack MITER还提出了一个名为“CAR”的网络分析存储库。斜接的团队列出了所有这些对手的行为，以及攻击者在受害机器上执行的攻击媒介。它为您提供了基于历史爆发的威胁描述和一些参考。它使用TTP的策略、技术和程序，并将它们映射到网络杀人链。大多数威胁搜索方法使用Mitre框架来执行搜索过程。

四、实现威胁猎捕

现在，要执行搜索，我们需要做出假设，在生成假设后，我们可以根据使用的任何平台搜索攻击。为了检验这个假设，你可以使用任何可用的工具，比如Splunk、ElStack等。但请在开始狩猎前妥善保存数据。弗洛里安·罗斯(Florian Roth)提出了一种新的通用格式SIEM签名西格玛。大多数mitreatck技术都映射到Sigma规则，这些规则可以直接整合到您的SIEM平台中，用于威胁搜索。西格玛也可以转换成Splunk、arcsight、ELK。

为西格玛规则转换准备的列表可以在谷歌的工作表上找到:

五、威胁狩猎

1、在Word或excel文件中运行用于哈希转储的mimikatz命令打开PowerShell要检查此假设，首先查找数据，如果我们有合适的数据来查找此假设，然后查找创建powershell.exe的winword.exe/Execl. Exe进程和包含(mimikatz)的命令行。

2、从互联网下载文件-在certutil.exe和hh.exe，从互联网而不是浏览器中查找下载文件的过程可以是相同的。

3、Powershell下载支持event _ data . command line:(* powershell * * pwsh * * syncappvppublishing server *)和event _ data . command line:(* bittransfer *)web client * * DownLoad file * * download string * * wget * * curl * * web request * * WinHttpRequest * iwr IRM ” * Internetexplorer。应用* ” ” * Msxml 2 . xmlhttp * ” ” * Msxml 2 . serverxmlhttp * ”

六、机器学习和威胁猎捕

machine learning在寻找网络威胁方面发挥着重要作用。各种算法，如分类、聚类等。可用于根据SIEM中的日志识别任何类型的异常和异常值。机器学习在帮助发现威胁方面起着辅助作用，因为它为我们提供了异常值，分析师将进一步投资发现威胁。