어쩌면 모든 사람이 태어날 때 세상은 자기만을 위해 존재한다고 생각하다가 자신이 틀렸다는 것을 알게 되면 성장하기 시작합니다.
우회로가 적다면 경치를 놓치게 되겠지만 어쨌든 경험해 주셔서 감사합니다.
게시 플랫폼 이전 알림: CSDN 블로그에 더 이상 새 기사가 게시되지 않습니다. Knowledge Planet으로 이동하세요.
내 CSDN 블로그에 대한 지속적인 관심과 지원에 감사드립니다. 하지만 여기에 새 기사를 게시하지 않기로 결정했습니다. 더 나은 서비스와 더 심층적인 교류를 제공하기 위해 지식 플래닛을 열었습니다. 더 깊이 있고 실용적인 기술 기사를 제공할 것입니다. 이러한 기사는 더 가치 있고 실용적인 문제를 더 잘 해결하는 데 도움이 될 수 있습니다. . 당신이 나의 지식 행성에 합류하기를 기대합니다. 우리가 함께 성장하고 발전합시다.
Auto Threat Hunting 칼럼은 정기적으로 업데이트됩니다. 이 기사의 최신 내용을 보려면 다음을 방문하십시오.
이 글의 내용은 무시해주세요...
0x01 위협 사냥 팁 1: 현재 환경의 정상적인 현상을 이해하면 이상 현상을 더 쉽게 발견할 수 있습니다.
너무 많은 기업이 자신의 환경을 이해하지 못한 채 위협 사냥(다람쥐와 토끼를 쫓는 방법은 거의 성공하지 못함)의 심연에 뛰어들려고 합니다. 위협 사냥은 궁극적으로 환경에서 알려지지 않은 요소를 검색하는 관행이므로 "정상적인 비즈니스"와 "의심스러운" 또는 심지어 "악의적인" 것이 무엇인지 이해하는 것이 중요합니다.
환경을 이해하려면 네트워크 다이어그램, 이전 사건 보고서 및 손에 넣을 수 있는 기타 문서를 포함하여 가능한 한 많은 정보가 있는지 확인하고 검색을 지원하는 네트워크 및 엔드포인트 수준 로그가 있는지 확인하세요.
0x02 위협 헌팅 팁 2: 헌트를 설정할 때 일반적인 것부터 시작한 다음 가정에 따라 구체적인 것으로 이동하십시오. 이를 통해 컨텍스트를 만들고 환경에서 원하는 것이 무엇인지 이해하게 됩니다.
사냥을 설정할 때 일반적인 것부터 시작한 다음 가정에 따라 구체적인 것으로 이동하십시오. 이를 통해 컨텍스트를 만들고 환경에서 원하는 것이 무엇인지 이해하게 됩니다.
위협 사냥꾼이 처음으로 구조화된 위협 사냥에 나서면 많은 사람들이 첫 번째 가설을 세우는 데 어려움을 겪습니다. 많은 사람들이 이 프로세스를 어렵게 생각하는 이유는 너무 구체적으로 설명하려고 하기 때문입니다. 세부 사항에 바로 뛰어들기보다는 먼저 가정을 좀 더 일반적으로 설정해 보십시오. 이렇게 하면 검색을 더욱 효과적으로 구성하고 프로세스에 추가 상황 정보를 추가할 수 있습니다.
0x03 위협 사냥 팁 3: 때로는 자신의 전문 분야가 아닌 것을 찾아서 알고 있는 것을 시각화하는 것보다 이해하고 알고 있는 것을 찾아서 시각화하는 것이 더 나을 때도 있습니다.
때로는 자신의 전문 지식 이외의 것을 찾아 알고 있는 것을 시각화하는 것보다 자신이 이해하고 알고 있는 것을 찾아 시각화하는 것이 더 효과적일 때도 있습니다.
새로운 사냥꾼이 직면하는 가장 일반적인 문제 중 하나는 문제에서 빨리 벗어나기가 쉽다는 것입니다. 모든 정보 보안 전문가가 모든 분야의 전문가는 아니며 위협 사냥에 있어서도 마찬가지입니다.
이제 막 시작했거나 오랫동안 검색을 해왔든 동일한 조언이 적용됩니다. 이해하는 항목을 검색한 다음 시각화를 통해 해당 데이터를 마이닝합니다. 이를 통해 보고 있는 내용을 이해하고 데이터를 이해하고 해당 위치에 도달한 방법을 이해할 수 있습니다.
이해하지 못하는 데이터를 찾으려고 할 때, 이해하고 시각화하는 데이터에 더 끌릴 가능성이 높으며, 이는 실제로 의미 있고 가치 있는 검색으로 이어질 수도 있고 그렇지 않을 수도 있습니다.
0x04 위협 사냥 팁 4: 모든 가정이 성공하는 것은 아니며 때로는 실패할 수도 있습니다. 하지만 낙담하지 말고 돌아가서 다시 테스트해 보세요.
위협 방지 및 위협 탐지와 달리 위협 사냥은 확실한 것과는 거리가 멀습니다. 실제로 위협 사냥의 본질은 알려지지 않은 것을 찾고 있다는 것을 의미합니다. 이 때문에 당신이 추구하는 모든 가설이 성공하는 것은 아닙니다. 실제로 대부분의 사냥꾼은 자신이 발견한 토끼굴을 파헤치는 데 몇 시간을 소비할 수 있지만 도메인 컨트롤러의 고급 공격자를 암호화하려는 사람보다 시간을 절약하기 위해 PowerShell을 사용하는 고급 사용자로 이어질 가능성이 더 높다는 것을 알고 있습니다.
이 순간이 당신을 실망시키지 않도록 하세요! 조사 결과를 문서화하고 부담을 주지 마십시오. 발견한 내용을 문서로 기록하고, 낙심하지 말고 계속해서 찾아보세요. 장기적으로는 성과를 거둘 것이다
0x05 위협 사냥 팁 5: 도구 세트와 해당 데이터 기능을 이해하는 것은 사냥을 실행하는 것만큼 중요합니다. 예상한 데이터가 도구에 있는지 확인하지 않으면 구석구석에 거짓 긍정이 숨어 있을 것입니다.
그러나 IT 분야의 거의 모든 사람들은 모든 도구와 기술이 다르며 특정 제한 사항이 있다는 것을 이해합니다. 그러나 때로는 보안 담당자(특히 위협 사냥꾼)가 이를 당연하게 여길 수도 있습니다.
"기술을 아는 것"에 대한 가장 중요한 개념 중 하나는 그것이 무엇을 할 수 있는지, 그리고 그 한계가 무엇인지 이해하는 것입니다. 이해하지 못한 채 성급하게 진행하면 잘못된 긍정 결과가 나오고 보안 팀에 잘못된 보안 감각을 줄 가능성이 높습니다.
헌팅 시스템을 구축하기 전에 검색어가 예상한 결과를 반환하는지 확인하기 위해 검색어를 테스트하고 검증하는 것이 중요합니다.
참조 링크 :
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
선택할 수 있는 길이 많다고 생각하지만 실제로는 선택할 수 있는 길은 하나뿐입니다.