文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

浅谈威胁狩猎(Threat Hunting)

2024-12-24 21:59

关注

从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

威胁狩猎不是一种技术,而是一种方法。作为一名安全分析师,威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。

威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。

[[283222]]

一、为什么要做威胁狩猎?

在传统的安全监视方法中,大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。 除了警报驱动的方法之外,为什么我们不能添加一个连续的过程来从数据中查找内容,而没有任何警报促使我们发生事件。 这就是威胁搜寻的过程,主动寻找网络中的威胁。 可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。 因此,为什么不能将其驱动为警报驱动,原因是警报驱动主要是某种数字方式而非行为方式。

威胁狩猎的方法:

二、如何进行猎捕?

请遵循以下提到的步骤:

三、如何产生假设?

只需阅读文章,安全新闻,新的APT公开报告,Twitter和一些安全网站可获得。 威胁猎捕是对各种数据源(例如端点,网络,外围等)执行的。它只是有效地运用我们的知识来发现异常。 需要批判性思维能力。 由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。

四、MITER ATT&CK辅助威胁猎捕

大多数威胁猎捕平台都使用“ Attack MITRE”对手模型。 MITER ATT&CK™是基于现实世界观察结果的全球对抗性战术和技术知识库。 Attack MITER还提出了一个名为“ CAR”的网络分析存储库。 MITER团队列出了所有这些对手的行为,并且攻击者在受害机器上执行的攻击媒介。 它基于历史爆发为您提供了描述以及有关威胁的一些参考。 它使用TTP的战术,技术和程序,并将其映射到网络杀伤链。 大多数威胁猎捕方法都使用Mitre框架来执行搜寻过程。

五、实现威胁猎捕

现在,要执行猎捕,我们需要假设,并且在生成假设之后,我们可以根据所使用的任何平台来猎捕或搜索攻击。 为了检验假设,您可以使用任何可用的工具,例如Splunk,ELK Stack等,但是在开始猎捕之前,请妥善保管数据。 Florian Roth为SIEM签名提出了一种新的通用格式– SIGMA。 大多数Mitre Att&ck技术都映射到Sigma规则,这些规则可以直接合并到您的SIEM平台中以进行威胁猎捕。 还可将Sigma转换为Splunk,arcsight,ELK。

可以在Google工作表上找到Sigma规则转换准备好的列表:

六、威胁狩猎

运行mimikatz命令进行哈希转储在Word或excel文件打开powershell –要检查此假设,请首先查找数据,我们是否有适当的数据来寻找该假设,然后寻找winword.exe /execl.exe进程来创建powershell.exe ,以及包含(mimikatz)的命令行。

从Internet下载文件–查找用于从浏览器以外的Internet下载文件的过程,certutil.exe,hh.exe可以相同。

Powershell下载支持event_data.CommandLine:(* powershell * * pwsh * * SyncAppvPublishingServer *)和event_data.CommandLine:(* BitsTransfer * * webclient * * DownloadFile * * downloadstring * * wget * * curl * * WebRequest * * WinHttpRequest * iwr irm “ * internetExplorer.Application *”“ * Msxml2.XMLHTTP *”“ * MsXml2.ServerXmlHttp *”)

七、机器学习和威胁猎捕

机器学习在网络威胁猎捕中起着重要作用。 可以使用多种算法,例如分类,聚类等,基于SIEM中的日志来识别任何种类的异常和异常值。 机器学习在协助寻找威胁方面起着辅助作用,因为它为我们提供了异常值,分析师将进一步投资以寻找威胁。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯