最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 浅谈威胁狩猎(Threat Hunting)

    正文概述 webmaster   2019-11-22   478

    威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。

    从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

    威胁狩猎不是一种技术,而是一种方法。作为一名安全分析师,威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。

    威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。

    浅谈威胁狩猎(Threat Hunting)

    一、为什么要做威胁狩猎?

    在传统的安全监视方法中,大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。 除了警报驱动的方法之外,为什么我们不能添加一个连续的过程来从数据中查找内容,而没有任何警报促使我们发生事件。 这就是威胁搜寻的过程,主动寻找网络中的威胁。 可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。 因此,为什么不能将其驱动为警报驱动,原因是警报驱动主要是某种数字方式而非行为方式。

    威胁狩猎的方法:

    • 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。
    • 对于威胁猎人而言,保持最新的安全研究非常重要。
    • 自动化/机器辅助-分析师使用利用“机器学习”和“ UEBA”功能的软件来告知分析师潜在风险。
    • 它有助于提供预测性和规范性分析。
    • 威胁情报源增加了分析。

    二、如何进行猎捕?

    请遵循以下提到的步骤:

    • 建立假设–假设意味着您要查找的内容,例如查找与Internet等建立连接的powershell命令。
    • 收集数据–根据假设,更加狩猎查找您需要的数据。
    • 测试假设并收集信息–收集数据后,根据行为,搜索查询来查找威胁。
    • 自动化某些任务–威胁搜寻永远不能完全自动化,而只能是半自动化。
    • 实施威胁搜寻–现在,不执行即席搜寻,而是实施您的搜寻程序,以便我们可以连续进行威胁搜寻。

    三、如何产生假设?

    只需阅读文章,安全新闻,新的APT公开报告,Twitter和一些安全网站可获得。 威胁猎捕是对各种数据源(例如端点,网络,外围等)执行的。它只是有效地运用我们的知识来发现异常。 需要批判性思维能力。 由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。

    四、MITER ATT&CK辅助威胁猎捕

    大多数威胁猎捕平台都使用“ Attack MITRE”对手模型。 MITER ATT&CK™是基于现实世界观察结果的全球对抗性战术和技术知识库。 Attack MITER还提出了一个名为“ CAR”的网络分析存储库。 MITER团队列出了所有这些对手的行为,并且攻击者在受害机器上执行的攻击媒介。 它基于历史爆发为您提供了描述以及有关威胁的一些参考。 它使用TTP的战术,技术和程序,并将其映射到网络杀伤链。 大多数威胁猎捕方法都使用Mitre框架来执行搜寻过程。

    五、实现威胁猎捕

    现在,要执行猎捕,我们需要假设,并且在生成假设之后,我们可以根据所使用的任何平台来猎捕或搜索攻击。 为了检验假设,您可以使用任何可用的工具,例如Splunk,ELK Stack等,但是在开始猎捕之前,请妥善保管数据。 Florian Roth为SIEM签名提出了一种新的通用格式– SIGMA。 大多数Mitre Att&ck技术都映射到Sigma规则,这些规则可以直接合并到您的SIEM平台中以进行威胁猎捕。 还可将Sigma转换为Splunk,arcsight,ELK。

    可以在Google工作表上找到Sigma规则转换准备好的列表:

    • 威胁猎捕永远无法实现自动化,但是某些部分可以做到,例如可以在SIEM中直接警告这些sigma规则,但是调查和分类的后面部分需要人工操作。
    • 威胁猎捕也可以由分析驱动。 用来进行风险评分的机器学习和UEBA也可以用作狩猎假设。 大多数网络分析平台都利用此UEBA,ML功能来识别异常。

    六、威胁狩猎

    1.运行mimikatz命令进行哈希转储在Word或excel文件打开powershell –要检查此假设,请首先查找数据,我们是否有适当的数据来寻找该假设,然后寻找winword.exe /execl.exe进程来创建powershell.exe ,以及包含(mimikatz)的命令行。

    2.从Internet下载文件–查找用于从浏览器以外的Internet下载文件的过程,certutil.exe,hh.exe可以相同。

    3.Powershell下载支持event_data.CommandLine:(* powershell * * pwsh * * SyncAppvPublishingServer *)和event_data.CommandLine:(* BitsTransfer * * webclient * * DownloadFile * * downloadstring * * wget * * curl * * WebRequest * * WinHttpRequest * iwr irm “ * internetExplorer.Application *”“ * Msxml2.XMLHTTP *”“ * MsXml2.ServerXmlHttp *”)

    七、机器学习和威胁猎捕

    机器学习在网络威胁猎捕中起着重要作用。 可以使用多种算法,例如分类,聚类等,基于SIEM中的日志来识别任何种类的异常和异常值。 机器学习在协助寻找威胁方面起着辅助作用,因为它为我们提供了异常值,分析师将进一步投资以寻找威胁。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 浅谈威胁狩猎(Threat Hunting)

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 595会员总数(位)
    • 4902资源总数(个)
    • 168本周发布(个)
    • 0 今日发布(个)
    • 183稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情