这篇文章讨论了在实际操作中如何进行威胁狩猎,尤其是如何超越仅依赖IOC(指标)的方法,通过分析驱动生成更加上下文的狩猎线索。
文章的主要内容包括:
-
IOC扫描是否等同于狩猎?虽然通过IOC扫描匹配SIEM事件可以算作威胁狩猎的一部分,但现代SIEM系统应能够自动化这一初步步骤。自动化近实时和回溯的IOC扫描可以显著提高狩猎和检测的效果。
-
构建分析驱动的狩猎查询:
-
推荐了Robert M. Lee和David Bianco的白皮书《生成成功威胁狩猎的假设》。
-
强调了生成假设的重要性,并结合三种不同类型的假设来提高狩猎的效果。
-
提到需要熟练掌握查询语言(如KQL)来分析日志数据。
-
具体的KQL狩猎查询示例:
-
设定了一个假设:攻击者最终会通过不常见的端口从低流行率进程发起与外部网络的通信。
-
通过定义包含和排除标准,将查询范围缩小到过去30天内少于5个终端上观察到的成功外发网络通信。
-
详细展示了KQL查询的各个步骤,包括设置网络范围、排除常见浏览器进程、使用布隆过滤器加速查询结果、总结和筛选数据等。
-
查询结果和进一步增强:
-
查询结果将包含一个唯一进程名称列表,这些进程成功建立了不常见端口的TCP连接。
-
提供了进一步开发和优化的建议,例如将狩猎范围缩小到IPv6资源、通过CTI源丰富数据、基于目标国家生成报告等。
文章最终强调,通过结合分析驱动的方法,可以生成更加有针对性的狩猎线索,揭示潜在的恶意活动和网络威胁。
全文如下:
关于狩猎假设有很多讨论。那么这在实际操作中是怎样的呢?
在这篇文章中,我将带您了解我的思维过程,并分享一个用于Defender for Endpoint的具体KQL狩猎查询作为示例。
IOC扫描 = 狩猎?
当一个团队拿着一份指标(IOC)列表并将其与匹配的SIEM事件进行比较时,这算是威胁狩猎吗?
无论您是否认为这是狩猎,最终,只要假设IOC命中是线索,这种做法也可以算作是过程中的一步。
尽管如此,如果您有一个现代化的SIEM,那么完全自动化这一步,即IOC匹配。
通过自动化近实时和回溯的IOC扫描,只要您能够管理和限定一个好的IOC列表,这将显著提高您的狩猎/检测输出。
这里的想法是超越纯粹的IOC驱动的方法,基于简单的分析生成更多上下文的狩猎线索。
构建一个分析驱动的狩猎查询如果您需要关于威胁狩猎的快速参考,我
原文始发于微信公众号(天御攻防实验室):超越IOC:基于分析驱动的威胁狩猎生成上下文线索
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论