威胁狩猎中的FSLS概念

在网络安全领域，威胁狩猎的过程是通过不断监测网络流量和系统日志，发现和追踪潜在的威胁，并且在它们变成真正的攻击前进行干预。威胁狩猎可以有效地降低网络攻击的成功率，并且使得企业在发现威胁时能够更快地做出反应。

在威胁狩猎中，有一个非常有用的概念是“First Seen, Last Seen”（FSLS），这个概念常常被用于UEBA类安全产品中。它可以帮助安全团队快速地定位网络上的威胁，并且为进一步的分析提供有价值的信息。

FSLS一般指的是一个威胁第一次出现的时间和最后一次出现的时间，这个概念可以应用在许多不同的情境和针对不同威胁数据实体，例如使用傅里叶变换计算判断C2连接的抖动周期。

FSLS也可以是一个特定的IP地址或者域名，或者是一个恶意文件在安全视野内首次和最后一次被查杀、拦截或发现的时间。在威胁狩猎中，FSLS可以用来确定某个威胁的活跃时间窗口，这样安全团队可以更加有效地分析和应对威胁。

对于一个未知的安全威胁，安全团队可以使用FSLS来确定它的活跃时间窗口，然后在这个时间段内分析系统日志和网络流量，更加深入的进行调查。例如在基于规则的安全系统中，如果一个IP地址、域名、恶意文件的行为触发规则后，那么基于规则的安全系统会将IP地址或者域名加入黑名单自动阻止这个流量。然而，如果一个黑名单中的IP地址、域名、恶意文件的FSLS非常短，那么这可能意味着它是一个新的威胁，需要被进一步地调查。在这种情况下，基于规则的安全系统可以自动将这个IP地址、域名、恶意文件添加到一个特殊的监视列表中，以便安全团队进一步地调查。

在实践中，FSLS可以通过多种方式进行计算。简单的方法是在系统日志或者网络流量中搜索特定的IP地址或者域名，并且记录它们第一次和最后一次出现的时间。当然，另一种更高级的方法是使用专门的安全工具来实现FSLS的计算。这些工具可以自动地监测网络流量和系统日志，并且计算不同数据实体的FSLS。一些工具还可以将FSLS与威胁情报进行关联，以提供更加全面的威胁狩猎功能。

尽管FSLS是一个非常有用的概念，但它并不是完美的。例如，一些威胁可能采用周期性的方式进行活动，这意味着它们的FSLS可能会有所不同。此外，一些威胁可能会使用大量不同的IP、域名进行活动，针对这种威胁行为的FSLS就无法精确地计算，需要扩维、关联、聚合和收敛更多的数据实体进行FSLS计算，例如指纹、进程、资产和账号等。

在网络安全领域，威胁狩猎是一个不断发展的领域，需要不断地引入新的技术和方法来提高效率和准确性。总的来说，FSLS是一个非常有用的工具，可以帮助安全团队更加高效地进行威胁狩猎。

原文始发于微信公众号（赛博攻防悟道）：威胁狩猎中的FSLS概念