Vielleicht denkt jeder, wenn er geboren wird, dass die Welt nur für ihn existiert. Als er herausfindet, dass er falsch liegt, beginnt er erwachsen zu werden.
Wer weniger Umwege macht, verpasst die Landschaft. Trotzdem vielen Dank für das Erlebnis.
Hinweis zur Übertragung der Veröffentlichungsplattform: Neue Artikel werden nicht mehr im CSDN-Blog veröffentlicht. Bitte wechseln Sie zu Knowledge Planet
Ich danke Ihnen allen für Ihre anhaltende Aufmerksamkeit und Unterstützung für meinen CSDN-Blog, aber ich habe beschlossen, hier keine neuen Artikel zu veröffentlichen. Um Ihnen einen besseren Service und einen intensiveren Austausch zu bieten, habe ich einen Wissensplaneten eröffnet, der ausführlichere und praktischere technische Artikel bereitstellt. Diese Artikel werden wertvoller sein und können Ihnen helfen, praktische Probleme besser zu lösen. Frage . Ich freue mich darauf, dass Sie meinem Wissensplaneten beitreten. Lassen Sie uns gemeinsam wachsen und Fortschritte machen
Die Kolumne „Auto Threat Hunting“ wird regelmäßig aktualisiert. Den neuesten Inhalt dieses Artikels finden Sie unter:
Bitte ignorieren Sie den Inhalt dieses Artikels...
0x01 Threat Hunting Tipp 1: Verstehen Sie, was in Ihrer Umgebung normal ist, und Sie können Anomalien leichter erkennen
Zu viele Unternehmen versuchen, sich in den Abgrund der Bedrohungsjagd zu stürzen (ein Rezept zur Jagd auf Eichhörnchen und Kaninchen mit wenig Erfolg), ohne ihre Umgebung zu verstehen. Unter Threat Hunting versteht man letztendlich die Suche nach unbekannten Elementen in einer Umgebung. Daher ist es wichtig zu verstehen, was „normales Geschäft“ und was „verdächtig“ oder sogar „böswillig“ ist.
Um die Umgebung zu verstehen, stellen Sie sicher, dass Sie über so viele Informationen wie möglich verfügen, einschließlich Netzwerkdiagrammen, früheren Vorfallberichten und jeglicher anderer Dokumentation, die Sie in die Hände bekommen können, und stellen Sie sicher, dass Sie über Protokolle auf Netzwerk- und Endpunktebene verfügen, um Ihre Suche zu unterstützen
0x02 Threat Hunting Tipp 2: Beginnen Sie beim Einrichten einer Jagd mit dem Allgemeinen und gehen Sie dann basierend auf Ihren Annahmen zum Spezifischen über. Auf diese Weise schaffen Sie einen Kontext und verstehen, wonach Sie in der Umgebung suchen
Wenn Sie eine Jagd planen, beginnen Sie mit dem Allgemeinen und gehen Sie dann basierend auf Ihren Annahmen zum Spezifischen über. Auf diese Weise schaffen Sie einen Kontext und verstehen, wonach Sie in der Umgebung suchen
Wenn Bedrohungsjäger bei der strukturierten Bedrohungssuche zum ersten Mal in den Vordergrund treten, fällt es vielen von ihnen schwer, ihre ersten Hypothesen zu formulieren. Viele Menschen empfinden diesen Prozess als schwierig, weil sie versuchen, etwas zu spezifisch zu sein. Versuchen Sie, Ihre Annahmen zunächst allgemeiner zu formulieren, anstatt direkt ins Detail zu gehen. Auf diese Weise können Sie Ihre Jagd besser gestalten und dabei zusätzliche Kontextinformationen hinzufügen
0x03 Threat Hunting Tipp 3: Manchmal ist es besser, Dinge zu jagen, die Sie verstehen und kennen, und sie dann zu visualisieren, anstatt Dinge zu jagen, die außerhalb Ihres Fachwissens liegen, und zu versuchen, Dinge zu visualisieren, die Sie kennen
Manchmal funktioniert es besser, nach Dingen zu suchen, die Sie verstehen und wissen, und sie dann zu visualisieren, als nach Dingen zu suchen, die außerhalb Ihres Fachwissens liegen, und zu versuchen, Dinge zu visualisieren, die Sie kennen.
Eine der häufigsten Herausforderungen für neue Jäger besteht darin, dass es einfach ist, schnell aus Schwierigkeiten herauszukommen. Nicht jeder Informationssicherheitsexperte ist ein Experte in allen Bereichen, und das Gleiche gilt, wenn es um die Bedrohungssuche geht
Unabhängig davon, ob Sie gerade erst anfangen oder schon seit einiger Zeit auf der Suche sind, gilt derselbe Rat: Suchen Sie nach Dingen, die Sie verstehen, und ermitteln Sie diese Daten dann durch Visualisierung. Dies stellt sicher, dass Sie verstehen, was Sie sehen, und ermöglicht es Ihnen, die Daten zu verstehen und zu verstehen, wie Sie dorthin gelangt sind
Wenn Sie versuchen, nach Daten zu suchen, die Sie nicht verstehen, tendieren Sie eher zu Daten, die Sie verstehen und visualisieren, was zu einer sinnvollen und wertvollen Suche führen kann oder auch nicht
0x04 Threat Hunting Tipp 4: Nicht alle Annahmen werden erfolgreich sein und manchmal können sie scheitern. Aber lassen Sie sich nicht entmutigen, gehen Sie zurück und testen Sie es noch einmal
Im Gegensatz zu Dingen wie Bedrohungsschutz und Bedrohungserkennung ist Threat Hunting alles andere als sicher. Tatsächlich liegt es in der Natur der Bedrohungssuche, dass Sie nach dem Unbekannten suchen. Aus diesem Grund wird nicht jede Hypothese, die Sie verfolgen, erfolgreich sein. Tatsächlich wissen die meisten Jäger, dass sie zwar Stunden damit verbringen können, den gefundenen Kaninchenbau zu graben, dieser aber eher zu einem Power-User führt, der PowerShell nutzt, um Zeit zu sparen, als zu jemandem, der fortgeschrittene Angreifer auf Ihrem Domänencontroller verschlüsseln möchte
Lassen Sie sich von diesen Momenten nicht entmutigen! Dokumentieren Sie Ihre Erkenntnisse und lassen Sie sich nicht belasten. Dokumentieren Sie Ihre Erkenntnisse, lassen Sie sich nicht entmutigen und suchen Sie weiter. Es wird sich auf lange Sicht auszahlen
0x05 Threat Hunting Tipp 5: Das Verständnis Ihres Toolsets und seiner Datenfunktionen ist genauso wichtig wie die Durchführung Ihrer Jagd. Wenn Sie nicht überprüfen, ob die erwarteten Daten in Ihrem Tool vorhanden sind, lauern an jeder Ecke Fehlalarme
Allerdings ist sich fast jeder im IT-Bereich bewusst, dass jedes Tool und jede Technologie anders ist und spezifische Einschränkungen aufweist. Aber manchmal hält das Sicherheitspersonal (insbesondere Bedrohungsjäger) dies für selbstverständlich
Eines der wichtigsten Konzepte zur „Kenntnis Ihrer Technologie“ besteht darin, zu verstehen, wozu sie in der Lage ist und wo ihre Grenzen liegen. Wenn Sie ohne Verständnis voreilen, ist es wahrscheinlich, dass Sie falsch positive Ergebnisse liefern und dem Sicherheitsteam ein falsches Gefühl der Sicherheit vermitteln.
Bevor Sie Ihr Jagdsystem aufbauen, ist es wichtig, Ihre Suchanfragen zu testen und zu validieren, um sicherzustellen, dass sie die erwarteten Ergebnisse liefern.
Referenzlinks :
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
Sie denken, Sie hätten viele Wege zur Auswahl, aber in Wirklichkeit haben Sie nur einen Weg, den Sie einschlagen können