Talvez quando todo mundo nasce ele pensa que o mundo existe só para ele, quando ele descobre que está errado, ele começa a crescer.
Se você fizer menos desvios, vai perder a paisagem, de qualquer forma, obrigado pela experiência.
Aviso de transferência de plataforma de publicação: Novos artigos não serão mais publicados no blog CSDN, por favor mude para Knowledge Planet
Obrigado pela sua atenção e apoio ao meu blog CSDN, mas decidi não publicar novos artigos aqui. Para lhe oferecer melhores serviços e intercâmbios mais aprofundados, abri um planeta de conhecimento, que fornecerá artigos técnicos mais aprofundados e práticos. Esses artigos serão mais valiosos e poderão ajudá-lo a resolver melhor problemas práticos. question . Estou ansioso para que você se junte ao meu planeta do conhecimento, vamos crescer e progredir juntos
A coluna Auto Threat Hunting é atualizada regularmente. Para obter o conteúdo mais recente deste artigo, acesse:
Por favor, ignore o conteúdo deste artigo...
0x01 Dica 1 para caçar ameaças: entenda o que é normal em seu ambiente e você será capaz de detectar anomalias com mais facilidade
Muitas empresas tentam saltar para o abismo da caça às ameaças (um método de perseguir esquilos e coelhos com pouco sucesso) sem compreender o seu ambiente. A caça a ameaças é, em última análise, a prática de encontrar o desconhecido em um ambiente, por isso é fundamental entender o que é “negócio normal” versus “suspeito” ou mesmo “malicioso”
Para entender o ambiente, certifique-se de ter acesso ao máximo de informações possível, incluindo diagramas de rede, relatórios de incidentes anteriores e qualquer outra documentação que você possa obter, e certifique-se de ter logs de rede e de endpoint para apoiar sua busca
0x02 Dica 2 para caça a ameaças: ao configurar uma caça, comece com o geral e depois passe para o específico, com base em suas suposições. Ao fazer isso, você cria contexto e entende o que procura no ambiente
Ao configurar uma caçada, comece com o geral e depois passe para o específico, com base em suas suposições. Ao fazer isso, você cria contexto e entende o que procura no ambiente
Quando os caçadores de ameaças iniciam a caça estruturada a ameaças, muitos deles lutam para estabelecer suas primeiras hipóteses. Muitas pessoas consideram esse processo desafiador, muitas vezes porque tentam ser um pouco específicos demais. Em vez de ir direto aos detalhes, primeiro tente capturar mais do quadro geral em suas suposições. Ao fazer isso, você moldará melhor sua busca e adicionará informações contextuais adicionais ao longo do caminho
0x03 Dica de caça a ameaças nº 3: às vezes é melhor caçar o que você sabe e sabe e depois visualizar do que caçar algo fora de sua experiência e tentar visualizar o que você sabe
Às vezes funciona melhor caçar coisas que você conhece e conhece e depois visualizar, do que caçar coisas que estão fora de sua experiência e tentar visualizar o que você sabe.
Um dos desafios mais comuns que os novos caçadores encontram é que é fácil sair rapidamente dos problemas. Nem todo profissional de segurança da informação é especialista em todas as áreas, e o mesmo se aplica quando se trata de caça a ameaças.
Quer você esteja apenas começando ou já esteja caçando há algum tempo, o mesmo conselho se aplica: busque o que você entende e, em seguida, explore esses dados por meio da visualização. Isso garante que você entenda o que está vendo e permite que você entenda os dados e entenda como chegou lá
Se, ao tentar buscar dados que você não entende, é mais provável que você gravite em torno dos dados que entende e os visualize, o que pode ou não levar a uma busca significativa e valiosa
0x04 Dica 4 para caçar ameaças: Nem todas as suposições serão bem-sucedidas e, às vezes, podem falhar. Mas não desanime, volte e teste novamente
Ao contrário de coisas como proteção e detecção de ameaças, a caça a ameaças está longe de ser uma certeza. Na verdade, a própria natureza da caça às ameaças significa que você está procurando o desconhecido. Por causa disso, nem todas as hipóteses que você caça serão bem-sucedidas. Na verdade, a maioria dos caçadores sabe que, embora possam passar horas cavando a toca do coelho que encontram, é mais provável que a toca faça com que um usuário avançado do PowerShell economize algum tempo do que um hacker criptográfico.
Não deixe que esses momentos te desanimem! Documente suas descobertas e não deixe que isso o sobrecarregue. Documente suas descobertas, não desanime e continue caçando. Vai valer a pena no longo prazo
0x05 Dica 5 para caça a ameaças: compreender seu conjunto de ferramentas e seus recursos de dados é tão importante quanto executar sua busca. Se você não verificar se os dados esperados estão presentes em sua ferramenta, falsos positivos estarão à espreita em cada esquina
Embora quase todos na área de TI entendam que cada ferramenta e tecnologia é diferente e tem limitações específicas. Mas às vezes o pessoal de segurança (especialmente os caçadores de ameaças) pode considerar isso um dado adquirido
Um dos conceitos mais importantes sobre “conhecer a sua tecnologia” é compreender do que ela é capaz e quais são as suas limitações. Se você avançar sem entender, provavelmente produzirá resultados falsos positivos e dará à equipe de segurança uma falsa sensação de segurança.
Antes de construir seu sistema de caça, é crucial testar e validar suas consultas de pesquisa para garantir que elas retornem os resultados esperados.
Links de referência :
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
Você acha que tem muitos caminhos para escolher, mas na verdade só tem um caminho a seguir