近年来，威胁狩猎已成为网络安全的重要组成部分。然而，威胁狩猎的定义仍然是一个问题。根据你询问的对象不同，对于威胁狩猎以及如何使用它有着不同的解释。

威胁狩猎是什么

威胁狩猎是一种主动和可持续的网络安全方法论，旨在提前识别和缓解威胁，避免其对组织造成重要影响。与依赖于响应的威胁检测技术不同。威胁狩猎的核心是基于假设驱动的原则，鼓励安全专业人员采取更主动和持续的监控方式，寻找到可能已经绕过传统防御措施的威胁痕迹和证据。

威胁狩猎所需要具备的能力

要识别和检查威胁，需要熟悉MISP等威胁情报平台以及Splunk, ELK等安全信息和事件管理平台（SIEM）工具。对MITRE ATT&CK框架的了解也有助于识别某些攻击中所使用的不同战术和技术。

对威胁狩猎的误解

正如上面提到的，许多人误以为威胁狩猎是一项被动反应的任务。简单地说，威胁狩猎不应该以网络安全告警作为狩猎的契机或只是通过一组IOC来调查。这些活动应是网络安全分析师工作的一部分。下面我列举了一些例子来说明我的观点:

好的例子（基于假设驱动的威胁狩猎）

1. 攻击者正在使用恶意的计划任务维持权限持久化

• 狩猎方法：根据名称，可执行文件，计划任务的频率来查找异常的计划任务

2. 攻击者正在泄漏大量数据

• 狩猎方法：基于大量的网络遥测数据，查找对于文件上传网站的异常访问

坏的例子

1. 从威胁情报报告中提取IOC，比对数据源中是否有命中的情况

2. 调查一个用户机器上的恶意文档所产生的告警

基于之前的例子，假设威胁猎手能够访问所需的遥测数据。如果有特定的数据源无法使用或者缺失，威胁猎手应该记录遥测数据的缺陷，创建追踪案例并修复缺失。

威胁狩猎的实战流程

在本节中，我将使用上面给出的一个威胁搜寻示例，来解释这个过程的不同步骤。

基于攻击技术的狩猎实例

1. 建立假设

寻找源自 MicrosoftWord 文档的可疑进程执行活动。

• Mitre ATT&CK ID: T1204.002 (Execution)

2. 建立证据

• Winword.exe 创建了子进程。
• Winword.exe 向其它进程中注入了恶意代码。
• Winword.exe 从公网服务器上下载了二进制文件。

3. 识别数据源

• 进程执行日志
• 注册表修改日志HKCU:SOFTWAREMicrosoftOffice16.0WordSecurityTrusted DocumentsTrustRecords

4. 识别字段和值

• ParentProcessName: winword.exe
• ProcessName: (cmd.exe|powershell.exe|rundll32.exe|regsvr32.exe|wscript.exe|cscript.exe|mshta.exe)

5. 查询数据 Splunk查询：

Source=*sysmon* EventCode=1 ((ParentImage=”*\WINWORD.EXE”) AND (Image=”*\cmd.exe” OR Image=”*\powershell.exe” OR Image=”*\rundll32.exe” OR Image=”*\regsvr32.exe” OR Image=”*\mshta.exe” OR Image=”*\certutil.exe” OR Image=”*\wscript.exe” OR Image=”*\cscript.exe”))

6. 分析数据 下图是所查询和观察到的可疑行为：

威胁狩猎的目标和指标

尽管人们赋予威胁狩猎不同的含义，但总体目标是相同的。这些核心目标包括:

1. 主动搜索威胁

2. 调查异常现象

3. 调查遥测数据差距

4. 减少威胁检测告警的误报率

5. 减少威胁检测时间

基于节省的时间和安全事件的潜在影响，组织可以获得高投资回报率(ROI)。此外，所有上述威胁狩猎目标的成功都可以被衡量和跟踪。其中一些指标可能包括:

1. 狩猎发现的数量

2. 遥测数据的缺口

3. 安全提升建议

4. 一次成功的威胁狩猎之后创建的检测规则数量

安全管理团队可以使用这些指标来展示威胁狩猎团队的影响和价值，以及威胁狩猎的结果如何直接转化为组织节省的资金。