浅聊威胁狩猎 Threat Hunting
发布时间:2022-05-30 09:20:18 所属栏目:安全 来源:互联网
导读:威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 一、为什么要做威胁狩猎? 在传统的安全监视方法中,大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。
|
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 一、为什么要做威胁狩猎? 在传统的安全监视方法中,大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。 除了警报驱动的方法之外,为什么我们不能添加一个连续的过程来从数据中查找内容,而没有任何警报促使我们发生事件。 这就是威胁搜寻的过程,主动寻找网络中的威胁。 可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。 因此,为什么不能将其驱动为警报驱动,原因是警报驱动主要是某种数字方式而非行为方式。 威胁狩猎的方法: 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。 对于威胁猎人而言,保持最新的安全研究非常重要。 自动化/机器辅助-分析师使用利用“机器学习”和“ UEBA”功能的软件来告知分析师潜在风险。 它有助于提供预测性和规范性分析。 威胁情报源增加了分析。 二、如何进行猎捕? 请遵循以下提到的步骤: 建立假设–假设意味着您要查找的内容,例如查找与Internet等建立连接的powershell命令。 收集数据–根据假设,更加狩猎查找您需要的数据。 测试假设并收集信息–收集数据后,根据行为,搜索查询来查找威胁。 自动化某些任务–威胁搜寻永远不能完全自动化,而只能是半自动化。 实施威胁搜寻–现在,不执行即席搜寻,而是实施您的搜寻程序,以便我们可以连续进行威胁搜寻。 三、 实现威胁猎捕 现在,要执行猎捕,我们需要假设,并且在生成假设之后,我们可以根据所使用的任何平台来猎捕或搜索攻击。 为了检验假设,您可以使用任何可用的工具,例如Splunk,ELK Stack等,但是在开始猎捕之前,请妥善保管数据。 Florian Roth为SIEM签名提出了一种新的通用格式– SIGMA。 大多数Mitre Att&ck技术都映射到Sigma规则,这些规则可以直接合并到您的SIEM平台中以进行威胁猎捕。 还可将Sigma转换为Splunk,arcsight,ELK。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐