おそらく誰もが、世界は自分だけのために存在すると思って生まれてきて、自分が間違っていたことに気づいたとき、成長し始めるのかもしれない
寄り道が少ないと景色を見逃してしまいますが、とにかく貴重な体験をありがとうございました。
出版プラットフォーム移行のお知らせ: 新しい記事は CSDN ブログで公開されなくなります。Knowledge Planet に移動してください。
私の CSDN ブログに引き続き注目してサポートしていただきありがとうございます。しかし、私はここに新しい記事を公開しないことにしました。より良いサービスとより詳細な情報交換を提供するために、ナレッジ プラネットをオープンしました。ここでは、より詳細で実践的な技術記事が提供されます。これらの記事はより価値があり、実際的な問題をより適切に解決するのに役立ちます。 。私のナレッジ プラネットに参加していただけることを楽しみにしています。一緒に成長し、進歩していきましょう
Auto Threat Hunting コラムは長期間にわたって更新されています。この記事の最新の内容については、次のリンクを参照してください。
この記事の内容は無視してください...
0x01 脅威ハンティングのヒント 1: 環境の正常な状態を理解すると、異常をより簡単に発見できるようになります
自社の環境を理解せずに、脅威ハンティング(リスやウサギを追いかける手法)の深淵に飛び込もうとする企業があまりにも多すぎますが、ほとんど成功しません。脅威ハンティングは、最終的には環境内の未知の要素を探索する行為であるため、「通常のビジネス」と「疑わしい」、さらには「悪意のある」ものを理解することが重要です。
環境を理解するには、ネットワーク図、以前のインシデント レポート、その他の入手可能なドキュメントなど、できるだけ多くの情報を用意してください。また、探索をサポートするネットワーク レベルとエンドポイント レベルのログがあることを確認してください。
0x02 脅威ハンティングのヒント 2: ハントを設定するときは、想定に基づいて一般的なものから始めて、次に具体的なものに進みます。これを行うことで、コンテキストを作成し、環境で何を探しているのかを理解できます。
狩猟を設定するときは、前提に基づいて一般的なことから始めて、次に具体的なことに移ります。これを行うことで、コンテキストを作成し、環境で何を探しているのかを理解できます。
脅威ハンターが初めて構造化された脅威ハンティングで前面に出たとき、その多くは最初の仮説を立てるのに苦労します。多くの人がこのプロセスを難しいと感じる理由は、多くの場合、少し具体的になりすぎているためです。いきなり詳細に入るのではなく、まず、より一般的な仮定を立てるようにしてください。こうすることで、狩りをより適切に形作り、プロセスに追加のコンテキスト情報を追加できます。
0x03 脅威ハンティングのヒント 3: 自分の専門外のものを探して自分が知っていることを視覚化するよりも、自分が理解して知っていることをハンティングして視覚化する方が良い場合があります。
自分の専門外のことを調べて、知っていることを視覚化しようとするよりも、自分が理解して知っていることを調べて視覚化する方がうまくいく場合があります。
新しいハンターが遭遇する最も一般的な課題の 1 つは、トラブルからすぐに抜け出すのが簡単なことです。すべての情報セキュリティ専門家がすべての分野の専門家であるわけではありません。脅威ハンティングに関しても同様です。
狩猟を始めたばかりの場合でも、しばらく狩猟を行っている場合でも、同じアドバイスが当てはまります。理解できるものを探し、視覚化を通じてそのデータをマイニングすることです。これにより、何を見ているのかを確実に理解し、データを理解してそこに到達する方法を理解できるようになります。
理解していないデータを探索しようとすると、理解して視覚化したデータに引き寄せられる可能性が高くなりますが、それが実際に有意義で価値のある探索につながるかどうかはわかりません。
0x04 脅威ハンティングのヒント 4: すべての想定が成功するとは限らず、場合によっては失敗する可能性があります。でも落胆しないで、戻ってもう一度テストしてください
脅威保護や脅威検出とは異なり、脅威ハンティングは確実なものではありません。実際、脅威ハンティングの本質は、未知のものを探すことを意味します。このため、探索したすべての仮説が成功するとは限りません。実際、ほとんどのハンターは、見つけたうさぎの穴を掘り下げるのに何時間も費やすかもしれないが、その穴は、ドメイン コントローラーの高度な攻撃者を暗号化しようとするユーザーよりも、時間を節約するために PowerShell を使用するパワー ユーザーにつながる可能性が高いことを知っています。
このような瞬間に落ち込まないでください。調査結果を文書化して、負担にならないようにしてください。発見したことを文書化して、落胆せずに調査を続けてください。長期的にはそれは報われます
0x05 脅威ハンティングのヒント #5: ツールセットとそのデータ機能を理解することは、ハンティングを実行することと同じくらい重要です。予期したデータがツールに存在することを確認しないと、誤検知があらゆる場所に潜んでいます。
ただし、IT 分野のほぼすべての人が理解しているように、すべてのツールとテクノロジーは異なり、特定の制限があります。しかし、セキュリティ担当者 (特に脅威ハンター) は、これを当然のことと考える場合があります。
「テクノロジーを知る」ことに関する最も重要な概念の 1 つは、その機能とその限界を知ることです。理解せずに先へ進むと、誤検知の結果が生成される可能性が高く、セキュリティ チームに誤った安心感を与えることになります。
ハンティング システムを構築する前に、検索クエリをテストして検証し、期待する結果が返されることを確認することが重要です。
参考リンク:
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
選べる道はたくさんあると思っているけど、取るべき道は1つだけ