Threat Hunting从Threat Hunting框架开始! -- Threat Hunting框架是建立Threat Hunting计划的基础。
本文原作者为Justin Warner,笔者在原文的基础上提炼了一下(主要关注1-4),供大家一起交流!下一篇文章,我们将讨论Threat Hunting“落地”思考。
图一:The Threat Hunting Framework
1.可见性(Visibility)
强大的可见性是Hunt成功的基石。(提高网络、端点和日志等数据的可见性)
如何获得可见性?
- 部署EDR代理(Agent)、网络传感器(Sensor)和日志聚合(ES、Splunk等)。
- 数据丰富化(Enrichment),这可能包括添加IP地址地理位置、威胁情报关联等,并将数据解析为标准字段。
同时,在Hunt的过程中,Hunt团队可能会发现额外的可见性(如新识别的网络段)。这个过程应该始终持续进行,以确保整个安全团队拥有适当保护和防御企业所需的可见性。
2.情报分析(Intelligence)
在这一阶段,Hunt团队根据企业的IT环境进行威胁建模,并与业务部门合作,以更好地了解环境,为实施Hunt做准备。
- 使用MITRE ATT&CK框架来辅助研究对手的技战术(TTPs)
- 与业务部门合作梳理企业的核心资产,如关键系统、特权账号等
- 基线建模,如特权账户审查、网络架构和分段、数据流向等
3.形成假设(Hypothesis)
Hunt团队利用情报分析的结果,针对威胁行为体(攻击者或组织)在环境中可能进行的活动或他们在攻击的每个阶段如何行动提出假设。这些假设将被用来指导Hunt团队在行动中寻找的行为。
举个例子,我们可以利用以下假设开始Hunt:“对手利用DNS隧道上线,并从环境中渗出数据”。
4.创建分析(Analytic)
Hunt团队基于假设开发或创建非常具体的分析(Analytics)或查询(Queries),以识别威胁行为体的行为。
以DNS隧道假设为列,Hunt可以创建几个分析来提取数据,例如寻找长度大于150个字符的DNS查询、解析到不可路由的地址和私有IP地址的查询。
5.执行Hunt
Hunt团队执行他们的测试分析,并检索结果进行后续分析。
6.调查和验证
Hunt团队调查和验证已识别的事件,以确定已查明的活动是否是恶意的。
7.修改假设和分析
根据前面Hunt的结果,可能需要修改假设和分析,同时Hunt团队需要将Hunt的过程和结果记录下来,一方面是解决误报问题,另外一方面是提高调查效率,更重要的是知识积累形成知识库。
往期精选
围观
热文
热文
天御攻防实验室:
专注威胁感知、威胁猎杀、高级威胁检测,Adversary Simulation、Adversary Detection、Adversary Resilience
天御蓝军:
全球高级威胁研究与对抗
↑↑↑长按图片识别二维码关註↑↑↑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论