威胁狩猎,顾名思义,就是在网络安全的世界里寻找威胁,威胁每天都在变化。因此,我们有责任开发新技术来防御和检测各种类型的威胁和攻击。从威胁搜寻的定义开始,主动和被动地搜寻网络中想要逃避安全解决方案的高级威胁的过程。威胁狩猎不是一种技术,而是一种方法。作为一名安全分析师,威胁狩猎就是有效地利用我们的情报来发现网络环境中的任何异常情况。威胁猎手使用批判性思维技能和创造力来查看正常的网络行为并能够识别异常行为。1.为什么要进行威胁搜寻?在传统的安全监控方法中,大多数蓝队成员根据SIEM或其他安全设备触发的警报来寻找威胁。除了警报驱动的方法,为什么我们不能添加一个连续的过程来从数据中查找内容,而没有任何警报提示我们发生事件。这就是威胁狩猎的过程,主动寻找网络中的威胁。您可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。所以它不能被警报驱动的原因是警报驱动主要是某种数字而不是行为。威胁搜寻方法:手动测试——分析师需要不断寻找任何可能是入侵证据/指标的东西。威胁猎手了解最新的安全研究非常重要。自动化/机器辅助——分析师使用利用“机器学习”和“UEBA”功能的软件来通知分析师潜在风险。它有助于提供预测性和规范性分析。威胁情报源添加分析。二、如何打猎?按照下面提到的步骤进行操作:建立一个假设——假设意味着你正在寻找什么,比如找到powershell命令来建立与互联网的连接等。收集数据——根据假设更加努力地寻找你需要的数据。检验假设并收集信息——收集数据后,根据行为、搜索查询查找威胁。使某些任务自动化——威胁搜寻永远不可能完全自动化,只能是半自动化。实施威胁搜寻——现在,与其进行临时搜寻,不如实施您的搜寻程序,这样我们就可以进行持续的威胁搜寻。3.如何产生假设?只需阅读文章、安全新闻、新APT的公开报告、Twitter和一些可用的安全网站即可。针对各种数据源(例如端点、网络、边界等)执行威胁搜寻。它只是有效地利用我们的知识来发现异常。需要批判性思维能力。由妥协指数(IOC)组成的威胁情报在执行追捕中也起着重要作用。4.MITREATT&CK辅助威胁搜寻大多数威胁搜寻平台都使用“AttackMITRE”对手模型。MITREATT&CK?是一个基于真实世界观察的对抗战术和技术的全球知识库。AttackMITRE还提出了一个名为“CAR”的网络分析库。MITRE团队列出了所有这些敌对行为以及攻击者在受害机器上执行的攻击媒介。它为您提供了基于历史爆发的威胁的描述和一些参考。它使用TTP战术、技术和程序,并将它们映射到网络杀伤链。大多数威胁搜寻方法使用Mitre框架来执行搜寻过程。5.启用威胁搜寻现在,要执行搜寻,我们需要假设,在生成假设后,我们可以根据使用的任何平台搜寻或搜索攻击。为了检验假设,您可以使用任何可用的工具,例如Splunk、ELKStack等,但在您开始寻找之前,请确保您的数据安全。FlorianRoth提出了一种新的SIEM签名通用格式——SIGMA。大多数MitreAtt&ck技术映射到Sigma规则,这些规则可以直接合并到您的SIEM平台中以进行威胁搜寻。还将Sigma转换为Splunk、arcsight、ELK。可以在Google表格上找到现成的sigma规则转换列表:威胁搜寻永远无法自动化,但某些部分可以,例如这些sigma规则可以直接在SIEM中告警,但是后期的调查和分流需要人工操作。威胁搜寻也可以由分析驱动。用于风险评分的机器学习和UEBA也可用于寻找假设。大多数网络分析平台利用这种UEBA、ML功能来识别异常。6.威胁搜寻1.运行mimikatz命令进行哈希转储在Word或excel文件中打开powershell–要检查这个假设,首先要查找数据,我们是否有合适的数据来查找这个假设,然后查找winword.exe/execl。exe进程创建powershell.exe,并包含一个命令行(mimikatz)。2、从网上下载文件——找到浏览器以外的从网上下载文件的进程,certutil.exe,hh.exe可以一样。3.Powershell下载支持event_data.CommandLine:(*powershell**pwsh**SyncAppvPublishingServer*)和event_data.CommandLine:(*BitsTransfer**webclient**DownloadFile**downloadstring**wget**curl**WebRequest**WinHttpRequest*iwrirm"*internetExplorer.Application*""*Msxml2.XMLHTTP*""*MsXml2.ServerXmlHttp*")7.机器学习和威胁搜寻机器学习在网络威胁搜寻中发挥着重要作用。分类、聚类等各种算法可用于根据SIEM中的日志识别任何类型的异常和异常值。机器学习在协助发现威胁方面起着次要作用,因为它为我们提供了异常值,分析师将进一步投资以发现威胁。
