Tal vez todo el mundo nace pensando que el mundo existe solo para él, y cuando descubre que está equivocado, empieza a crecer
Si evitas los desvíos, te perderás el paisaje. De todos modos, gracias por la experiencia.
Aviso de plataforma de publicación de transferencia: los artículos nuevos ya no se publicarán en el blog de CSDN, muévase a Knowledge Planet
Gracias por su atención y apoyo a mi blog de CSDN, pero he decidido no publicar nuevos artículos aquí. Para brindarle mejores servicios e intercambios más profundos, he abierto un planeta del conocimiento, que proporcionará artículos técnicos más profundos y prácticos. Estos artículos serán más valiosos y pueden ayudarlo a resolver mejor los problemas prácticos. . Espero que te unas a mi planeta del conocimiento, crezcamos y progresemos juntos
La columna Auto Threat Hunting se actualiza desde hace mucho tiempo. Para obtener el contenido más reciente de este artículo, vaya a:
Por favor ignore el contenido de este artículo...
0x01 Sugerencia de búsqueda de amenazas 1: conozca lo que es normal en su entorno, luego podrá detectar anomalías más fácilmente
Demasiadas empresas intentan lanzarse al abismo de la caza de amenazas (un método para perseguir ardillas y conejos con poco éxito) sin comprender su entorno. La caza de amenazas es, en última instancia, la práctica de encontrar lo desconocido en un entorno, por lo que es fundamental comprender qué es un "negocio normal" versus "sospechoso" o incluso "malicioso".
Para comprender el entorno, asegúrese de tener acceso a la mayor cantidad de información posible, incluidos diagramas de red, informes de incidentes anteriores y cualquier otra documentación que pueda obtener, y asegúrese de tener registros de nivel de red y punto final para respaldar su búsqueda.
0x02 Sugerencia de caza de amenazas n.º 2: al configurar una campaña de caza, comience con escenarios generales y avance hacia escenarios específicos en función de sus suposiciones. Al hacer esto, crea contexto y comprende lo que está buscando en su entorno.
Al configurar una cacería, comience con lo general y avance hacia los detalles en función de sus suposiciones. Al hacer esto, crea contexto y comprende lo que está buscando en su entorno.
Cuando los cazadores de amenazas irrumpen por primera vez en la caza de amenazas estructurada, muchos de ellos tienen dificultades para establecer sus primeras hipótesis. Muchas personas encuentran este proceso desafiante, a menudo porque intentan ser demasiado específicos. En lugar de saltar directamente a los detalles, primero intente capturar más de la imagen general en sus suposiciones. Al hacer esto, dará mejor forma a su búsqueda y agregará información contextual adicional en el camino.
0x03 Consejo de búsqueda de amenazas n.° 3: a veces es mejor buscar lo que sabe y sabe y luego visualizar que buscar algo fuera de su experiencia y tratar de visualizar lo que sabe
A veces funciona mejor buscar cosas que conoces y sabes y luego visualizar, que buscar cosas que están fuera de tu experiencia y tratar de visualizar lo que sabes.
Uno de los desafíos más comunes que enfrentan los nuevos cazadores es que es fácil salir de los problemas muy rápidamente. No todos los profesionales de la seguridad de la información son expertos en todo, y lo mismo ocurre con la caza de amenazas.
Ya sea que esté comenzando o haya estado buscando durante algún tiempo, el mismo consejo es válido: busque lo que entiende, luego extraiga esos datos a través de la visualización. Esto garantiza que comprenda lo que está viendo y le brinda una comprensión de los datos y cómo llegó allí.
Si, al tratar de buscar datos que no comprende, es más probable que gravite hacia los datos que sí comprende y los visualice, lo que puede o no conducir a una búsqueda significativa y que valga la pena.
0x04 Sugerencia n.º 4 para la búsqueda de amenazas: no todas las suposiciones tendrán éxito y, a veces, pueden fallar. Pero no te desanimes, vuelve y prueba de nuevo
A diferencia de cosas como la protección contra amenazas y la detección de amenazas, la búsqueda de amenazas está lejos de ser algo seguro. De hecho, la naturaleza misma de la caza de amenazas significa que está buscando lo desconocido. Debido a esto, no todas las hipótesis que busques tendrán éxito. De hecho, la mayoría de los cazadores saben que, si bien pueden pasar horas excavando en el agujero del conejo que encuentran, es más probable que el agujero conduzca a un usuario avanzado de PowerShell a ahorrar algo de tiempo que a un pirata informático criptográfico.
¡No dejes que estos momentos te depriman! Documente sus hallazgos, no deje que sea su carga. Documente sus hallazgos, no se desanime y siga buscando. A la larga valdrá la pena
0x05 Sugerencia de caza de amenazas n.° 5: comprender su conjunto de herramientas y sus capacidades de datos es tan importante como ejecutar su búsqueda. Los falsos positivos acechan en cada esquina si no verifica que los datos esperados estén presentes en su herramienta
Aunque, como casi todo el mundo en el campo de TI entiende, cada herramienta y tecnología es diferente y tiene limitaciones específicas. Pero a veces las personas de seguridad (especialmente los cazadores de amenazas) pueden dar esto por sentado.
Uno de los conceptos más importantes sobre "conocer su tecnología" es conocer sus capacidades y cuáles son sus limitaciones. Si salta hacia adelante sin comprender, es probable que genere resultados falsos positivos, dando a los equipos de seguridad una falsa sensación de seguridad.
Antes de construir su sistema de búsqueda, es fundamental probar y validar sus consultas de búsqueda para asegurarse de que arrojan los resultados que espera.
Enlace de referencia :
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
Crees que tienes muchos caminos para elegir, pero solo tienes un camino para tomar