來(lái)源：https://www.securonix.com/threat-hunting-architecture/

一、介紹

對(duì)于擁有成熟安全操作中心的組織來(lái)說(shuō)，威脅搜索是一項(xiàng)必不可少的技能。在這篇博客中，我將為兩種不同類型的威脅狩獵以及幾種您應(yīng)該熟悉的威脅狩獵模型提供一個(gè)基本框架。

圖1:威脅狩獵架構(gòu)示意圖

威脅搜索是一種循序漸進(jìn)的方法，它在企業(yè)網(wǎng)絡(luò)中預(yù)先查找惡意活動(dòng)的跡象，而不需要對(duì)需要查找的特定跡象有初步的了解，然后確保惡意活動(dòng)從您的系統(tǒng)和網(wǎng)絡(luò)中刪除。

這是一種從不同來(lái)源收集樣本以幫助分析惡意威脅行動(dòng)者的技術(shù)。

二、威脅狩獵的三大支柱

（1）日志提供了企業(yè)中發(fā)生的事件的記錄。在它們中，我們可以找到企業(yè)中攻擊者執(zhí)行的操作的記錄。

（2）包是流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)。在它們里面，我們可以找到一份記錄，記錄在一個(gè)給定的時(shí)間點(diǎn)，在一個(gè)網(wǎng)絡(luò)中，什么是交流的，以及如何交流的。

（3）流程為我們提供了攻擊者對(duì)企業(yè)的影響的準(zhǔn)確記錄。

三、分類威脅狩獵

1、被動(dòng)威脅狩獵

威脅查找是在使用非結(jié)構(gòu)化feed對(duì)日志/數(shù)據(jù)包進(jìn)行規(guī)范化之前對(duì)其進(jìn)行分析的過(guò)程。威脅獵人需要從一個(gè)非常強(qiáng)的假設(shè)開(kāi)始，然后使用該假設(shè)從feed中提取特定的破壞指標(biāo)(IOC)。然后，使用來(lái)自其他威脅情報(bào)源的數(shù)據(jù)進(jìn)一步驗(yàn)證IOCs，以確認(rèn)提取的IOCs的準(zhǔn)確性。

威脅獵人需要了解如何被動(dòng)的威脅狩獵工作，因?yàn)?

（1）威脅獵人可能有也可能沒(méi)有工具來(lái)使用主動(dòng)狩獵來(lái)追捕特定的威脅，所以被動(dòng)狩獵可能是更好的選擇。

（2）如果一個(gè)威脅獵人的假設(shè)非常強(qiáng)，那么有時(shí)他們可以非常迅速地找到威脅使用被動(dòng)狩獵。這減少了將數(shù)據(jù)上傳到活動(dòng)的搜索平臺(tái)并將數(shù)據(jù)正?；璧臅r(shí)間。

2、被動(dòng)威脅狩獵的局限性

然而，由于被動(dòng)狩獵的局限性，威脅獵人并不總是能夠到達(dá)組織的每個(gè)角落:

（1）需要更多的努力來(lái)找到IOCs

（2）同時(shí)跨多個(gè)日志源執(zhí)行分析非常困難

（3）關(guān)于威脅的假設(shè)和假設(shè)一開(kāi)始就必須非常強(qiáng)大

（4）您檢測(cè)流程或攻擊者對(duì)企業(yè)影響的確切記錄的能力是有限的

3、主動(dòng)威脅搜索

主動(dòng)威脅捕獲是數(shù)據(jù)規(guī)范化之后分析日志、數(shù)據(jù)包和進(jìn)程的過(guò)程(即將所有非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換為結(jié)構(gòu)化格式，然后使數(shù)據(jù)可用于分析)。Securonix下一代SIEM平臺(tái)使得威脅捕捉者更容易利用這些結(jié)構(gòu)化的數(shù)據(jù)形式。

在主動(dòng)威脅捕獲中，很容易將不同的日志源集關(guān)聯(lián)到所涉及的IP地址、用戶和/或機(jī)器，以確定威脅對(duì)組織的影響。

主動(dòng)威脅狩獵允許威脅獵人狩獵不同復(fù)雜攻擊的復(fù)雜場(chǎng)景，如:

DNS偵察

域生成算法

機(jī)器人模式檢測(cè)

DNS跟蹤

快通量DNS

網(wǎng)絡(luò)釣魚

信標(biāo)

APTs

橫向運(yùn)動(dòng)

瀏覽器中毒

DNS放大

DNS隧道

萊頓密鑰惡意軟件

低而緩慢的攻擊

綜合威脅檢測(cè)

DoS

入侵檢測(cè)

Cookie可見(jiàn)性和盜竊

用戶登錄會(huì)話劫持

打破信任

會(huì)話固定

可疑的交易

數(shù)據(jù)窺探/數(shù)據(jù)聚合

跨通道數(shù)據(jù)出口

銀行欺詐

會(huì)話重播

水坑攻擊

4、最喜歡的狩獵技術(shù)

在我們討論威脅狩獵模型之前，我們需要了解狩獵技術(shù)。一項(xiàng)重要的技術(shù)是首先將狩獵所需的所有feed聚集起來(lái)。根據(jù)我們的輸入源，我們可以識(shí)別異常(例如，一個(gè)帳戶正在執(zhí)行一個(gè)以前從未見(jiàn)過(guò)的活動(dòng))。與此同時(shí)，威脅獵人將為每個(gè)帳戶地址、資產(chǎn)甚至企業(yè)的特定部分創(chuàng)建基線。一旦這些信息可用，就可以對(duì)行為檢測(cè)和廣度范圍(即攻擊者能夠滲透到多遠(yuǎn))進(jìn)行并行分析。

（1）聚合

（2）異常檢測(cè)

（3）基線

（4）本地資產(chǎn)的行為偏差

（5）行為檢測(cè)

（6）寬范圍

四、威脅狩獵模型

1、基于事件的狩獵

所有的威脅狩獵模型都取決于你的假設(shè)有多強(qiáng)。每個(gè)假設(shè)都應(yīng)該基于事件觀察和對(duì)每個(gè)日志源的深入理解:它是如何被放置的，以及它在企業(yè)中是如何被利用的。

2、DNS隧道

一個(gè)威脅獵人將主要研究DNS日志以下場(chǎng)景:

DNS請(qǐng)求的容量增加

NXDOMAIN請(qǐng)求的容量增加

DNS響應(yīng)異常(不是IP或NXDOMAIN)

罕見(jiàn)的域請(qǐng)求

檢查域和子域的長(zhǎng)度

3、代理日志中的異常檢測(cè)

一個(gè)威脅獵人可以尋找的代理日志:

響應(yīng)碼(即200、307、403)

帳戶使用的稀有用戶代理

來(lái)自帳戶的目錄行為(帳戶請(qǐng)求多個(gè)域，其中PLD是常量，但子域正在更改)。

3、IOC-Based狩獵

IOC是一些取證數(shù)據(jù)，主要是在系統(tǒng)日志事務(wù)或文件中發(fā)現(xiàn)的數(shù)據(jù)，這些數(shù)據(jù)表明系統(tǒng)或網(wǎng)絡(luò)上可能存在惡意活動(dòng)。它就像是網(wǎng)絡(luò)威脅的指紋。

IOC-based打獵是一種最簡(jiǎn)單的方式找到一個(gè)特定的威脅。描述以ioc為基礎(chǔ)的狩獵最好的方法是穿越痛苦的金字塔。

圖2:痛苦的金字塔

痛苦金字塔是一種眾所周知的分類IOCs的方法。當(dāng)您確定一個(gè)IOC時(shí)，它在金字塔上的位置表示該IOC將給攻擊者帶來(lái)多大的痛苦。金字塔的基礎(chǔ)，哈希值，會(huì)給攻擊者帶來(lái)一點(diǎn)痛苦。這包括諸如MD5、SHA1之類的散列，以及識(shí)別特定可疑或惡意文件的類似工件。IOCs是非常有用的，以獨(dú)特的識(shí)別特定的攻擊樣本，已被檢測(cè)到的安全事件。

當(dāng)我們從底部到頂部時(shí)，它幫助我們識(shí)別特定的威脅。

如果我們有一個(gè)特定的威脅IOCs，然后我們可以導(dǎo)致攻擊者改變他們的方法。

4、實(shí)體狩獵

理解一個(gè)組織的網(wǎng)絡(luò)態(tài)勢(shì)是一個(gè)復(fù)雜的挑戰(zhàn)。不管你有多少資源，威脅獵人總是需要優(yōu)先搜索網(wǎng)絡(luò)片段來(lái)獲得最大的吞吐量?；趯?shí)體的狩獵主要集中在高風(fēng)險(xiǎn)用戶(HRU)和高價(jià)值資產(chǎn)(HVA)。

首先，在繼續(xù)之前調(diào)查一下網(wǎng)絡(luò)

識(shí)別HRU和HVA

確定業(yè)務(wù)使用什么應(yīng)用程序

收集風(fēng)險(xiǎn)評(píng)估報(bào)告

攻擊者以HVA或HRU為目標(biāo)，以獲取敏感信息或作為橫向移動(dòng)的基礎(chǔ)。

威脅捕捉者應(yīng)該優(yōu)先調(diào)查DMZ服務(wù)器、應(yīng)用服務(wù)器LAN段、高級(jí)管理人員及其系統(tǒng)。接下來(lái)，他們應(yīng)該研究與每個(gè)團(tuán)隊(duì)相關(guān)的域控制器、容器存儲(chǔ)庫(kù)、研究和開(kāi)發(fā)系統(tǒng)以及集中式數(shù)據(jù)庫(kù)。

5、戰(zhàn)術(shù)、技術(shù)和程序?yàn)榛A(chǔ)的狩獵

威脅獵人不能總是依賴IOCs。IOC的有用壽命與相關(guān)域和ip的相關(guān)壽命相關(guān)，它們可能非常短。如果我們真的想阻止攻擊者的軌跡，我們需要了解他們的戰(zhàn)術(shù)、技術(shù)和程序(TTP)。作為一個(gè)威脅獵人，我們需要了解攻擊者使用什么技術(shù)，攻擊者如何有效地利用這些技術(shù)來(lái)對(duì)付我們，以及攻擊者有哪些不同的適應(yīng)和改變方法。我們還需要了解他們的主要目標(biāo)是什么，以及他們?nèi)绾卧诮M織中橫向移動(dòng)。

如果一個(gè)威脅獵人可以開(kāi)發(fā)一個(gè)360度的攻擊視圖，包括工件、效果、度量和傳播，那么他們就可以創(chuàng)建一個(gè)用于狩獵的劇本。

6、混合威脅狩獵

混合威脅搜索模型使用了多個(gè)威脅搜索模型的組合。這意味著你需要成為盡可能多的威脅狩獵模型的主題專家。當(dāng)你不知道攻擊滲透有多深、橫向擴(kuò)散有多遠(yuǎn)時(shí)，就會(huì)發(fā)生雜交狩獵。在該模型中，上述模型均能在調(diào)查的各個(gè)階段發(fā)揮各自的作用。

混合威脅搜索最好的例子之一是跨通道數(shù)據(jù)出口。在這個(gè)例子中，一個(gè)威脅獵人試圖找到兩個(gè)獨(dú)立的來(lái)源;一個(gè)用于聚合源數(shù)據(jù)，另一個(gè)用于提取源數(shù)據(jù)。在這種情況下，威脅獵人可以結(jié)合使用基于事件的狩獵、基于實(shí)體的狩獵和基于ioc的狩獵。

結(jié)論

威脅搜索涉及到幾種權(quán)衡，這取決于您可以訪問(wèn)哪些組織數(shù)據(jù)以及您對(duì)可能的攻擊者的了解。根據(jù)你對(duì)這些問(wèn)題的回答，你將知道哪種類型或模式的威脅狩獵最適合你的情況。