威脅狩獵，顧名思義，就是在網(wǎng)絡安全的世界中尋找威脅，威脅每天都在變化。因此，開發(fā)新技術(shù)來防御和檢測各種類型的威脅和攻擊是我們的責任。

從威脅狩獵的定義開始，通過主動和被動的方式搜尋網(wǎng)絡中想逃避安全解決方案的高級威脅的過程。

威脅狩獵不是一種技術(shù)，而是一種方法。作為一名安全分析師，威脅獵捕是以有效地運用我們的只是發(fā)現(xiàn)網(wǎng)絡環(huán)境中的任何異常情況。

威脅獵人使用批判性思維能力和創(chuàng)造力來查看正常得網(wǎng)絡行為并能夠識別異常的行為。

[[283222]]

一、為什么要做威脅狩獵?

在傳統(tǒng)的安全監(jiān)視方法中，大多數(shù)藍隊成員基于SIEM或其他安全設(shè)備觸發(fā)的警報來尋找威脅。 除了警報驅(qū)動的方法之外，為什么我們不能添加一個連續(xù)的過程來從數(shù)據(jù)中查找內(nèi)容，而沒有任何警報促使我們發(fā)生事件。 這就是威脅搜尋的過程，主動尋找網(wǎng)絡中的威脅。 可以使用此過程來查找現(xiàn)有安全解決方案無法識別的威脅或繞過解決方案的攻擊。 因此，為什么不能將其驅(qū)動為警報驅(qū)動，原因是警報驅(qū)動主要是某種數(shù)字方式而非行為方式。

威脅狩獵的方法：

• 人工測試–分析人員需要不斷尋找可能是入侵證據(jù)/指示的任何事物。
• 對于威脅獵人而言，保持最新的安全研究非常重要。
• 自動化/機器輔助-分析師使用利用“機器學習”和“ UEBA”功能的軟件來告知分析師潛在風險。
• 它有助于提供預測性和規(guī)范性分析。
• 威脅情報源增加了分析。

二、如何進行獵捕?

請遵循以下提到的步驟：

• 建立假設(shè)–假設(shè)意味著您要查找的內(nèi)容，例如查找與Internet等建立連接的powershell命令。
• 收集數(shù)據(jù)–根據(jù)假設(shè)，更加狩獵查找您需要的數(shù)據(jù)。
• 測試假設(shè)并收集信息–收集數(shù)據(jù)后，根據(jù)行為，搜索查詢來查找威脅。
• 自動化某些任務–威脅搜尋永遠不能完全自動化，而只能是半自動化。
• 實施威脅搜尋–現(xiàn)在，不執(zhí)行即席搜尋，而是實施您的搜尋程序，以便我們可以連續(xù)進行威脅搜尋。

三、如何產(chǎn)生假設(shè)?

只需閱讀文章，安全新聞，新的APT公開報告，Twitter和一些安全網(wǎng)站可獲得。 威脅獵捕是對各種數(shù)據(jù)源(例如端點，網(wǎng)絡，外圍等)執(zhí)行的。它只是有效地運用我們的知識來發(fā)現(xiàn)異常。 需要批判性思維能力。 由威脅指數(shù)(IOC)組成的威脅情報在執(zhí)行狩獵過程中也起著重要作用。

四、MITER ATT&CK輔助威脅獵捕

大多數(shù)威脅獵捕平臺都使用“ Attack MITRE”對手模型。 MITER ATT&CK™是基于現(xiàn)實世界觀察結(jié)果的全球?qū)剐詰?zhàn)術(shù)和技術(shù)知識庫。 Attack MITER還提出了一個名為“ CAR”的網(wǎng)絡分析存儲庫。 MITER團隊列出了所有這些對手的行為，并且攻擊者在受害機器上執(zhí)行的攻擊媒介。 它基于歷史爆發(fā)為您提供了描述以及有關(guān)威脅的一些參考。 它使用TTP的戰(zhàn)術(shù)，技術(shù)和程序，并將其映射到網(wǎng)絡殺傷鏈。 大多數(shù)威脅獵捕方法都使用Mitre框架來執(zhí)行搜尋過程。

五、實現(xiàn)威脅獵捕

現(xiàn)在，要執(zhí)行獵捕，我們需要假設(shè)，并且在生成假設(shè)之后，我們可以根據(jù)所使用的任何平臺來獵捕或搜索攻擊。 為了檢驗假設(shè)，您可以使用任何可用的工具，例如Splunk，ELK Stack等，但是在開始獵捕之前，請妥善保管數(shù)據(jù)。 Florian Roth為SIEM簽名提出了一種新的通用格式– SIGMA。 大多數(shù)Mitre Att&ck技術(shù)都映射到Sigma規(guī)則，這些規(guī)則可以直接合并到您的SIEM平臺中以進行威脅獵捕。 還可將Sigma轉(zhuǎn)換為Splunk，arcsight，ELK。

可以在Google工作表上找到Sigma規(guī)則轉(zhuǎn)換準備好的列表：

• 威脅獵捕永遠無法實現(xiàn)自動化，但是某些部分可以做到，例如可以在SIEM中直接警告這些sigma規(guī)則，但是調(diào)查和分類的后面部分需要人工操作。
• 威脅獵捕也可以由分析驅(qū)動。 用來進行風險評分的機器學習和UEBA也可以用作狩獵假設(shè)。 大多數(shù)網(wǎng)絡分析平臺都利用此UEBA，ML功能來識別異常。

六、威脅狩獵

1.運行mimikatz命令進行哈希轉(zhuǎn)儲在Word或excel文件打開powershell –要檢查此假設(shè)，請首先查找數(shù)據(jù)，我們是否有適當?shù)臄?shù)據(jù)來尋找該假設(shè)，然后尋找winword.exe /execl.exe進程來創(chuàng)建powershell.exe ，以及包含(mimikatz)的命令行。

2.從Internet下載文件–查找用于從瀏覽器以外的Internet下載文件的過程，certutil.exe，hh.exe可以相同。

3.Powershell下載支持event_data.CommandLine：(* powershell * * pwsh * * SyncAppvPublishingServer *)和event_data.CommandLine：(* BitsTransfer * * webclient * * DownloadFile * * downloadstring * * wget * * curl * * WebRequest * * WinHttpRequest * iwr irm “ * internetExplorer.Application *”“ * Msxml2.XMLHTTP *”“ * MsXml2.ServerXmlHttp *”)

七、機器學習和威脅獵捕

機器學習在網(wǎng)絡威脅獵捕中起著重要作用。 可以使用多種算法，例如分類，聚類等，基于SIEM中的日志來識別任何種類的異常和異常值。 機器學習在協(xié)助尋找威脅方面起著輔助作用，因為它為我們提供了異常值，分析師將進一步投資以尋找威脅。