雷英

威胁狩猎，顾名思义，就是在网络安全的世界中寻找威胁。威胁每天都在变化，因此，开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。

从威胁狩猎的定义开始，通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

威胁狩猎不是一种技术，而是一种方法，作为一名安全分析师，威胁猎捕有效地运用可以发现网络环境中的任何异常情况。

威胁猎人使用批判性思维能力和创造力来查看正常的网络行为并识别异常的行为。

1为什么要做威胁狩猎

在传统的安全监视方法中，大多数成员基于SIEM或其他安全设备触发的警报来寻找威胁。除了警报驱动的方法之外，添加一个连续的过程从数据中查找内容，而不是通过任何警报提醒发生事件。这就是威胁搜寻的过程，主动寻找网络中的威胁。可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。因此，为什么不能将其驱动为警报驱动，原因是警报驱动主要是某种数字方式而非行为方式。

威胁狩猎的方法：

人工测试———分析人员需要不断寻找可能是入侵证据/指示的任何事物。对于威胁猎人而言，保持最新的安全研究非常重要。

自动化或机器辅助———分析师利用“机器学习”和“UEBA”功能的软件来告知分析师潜在风险，它有助于提供预测性和规范性分析。

2如何进行猎捕

建立假设———假设意味着要查找的内容，例如，查找与Internet等建立连接的Powershell命令。

收集数据———根据假设，进行狩猎查找需要的数据。

测试假设并收集信息———收集数据后，根据行为，搜索查询来查找威胁。

自动化某些任务———威胁搜寻永远不能完全自动化，而只能是半自动化。

实施威胁搜寻———现在，不执行即时搜寻，而是实施搜寻程序，以便可以连续进行威胁搜寻。

3如何产生假设

只需阅读文章、安全新闻、新的APT公开报告、Twitter和一些安全网站获得。威胁猎捕是对各种数据源（例如端点、网络和外围等）执行的。它只是有效地运用我们的知识来发现异常，需要批判性思维能力。由威胁指数（IOC）组成的威胁情报在执行狩猎过程中也起着重要作用。

4 MITER ATT&CK辅助威胁猎捕

大多数威胁猎捕平台都使用“Attack MITRE”对手模型。MITER ATT&CK是基于现实世界观察结果的全球对抗性战术和技术知识库。Attack MITER还提出了一个名为“CAR”的网络分析存储库。MITER团队列出了所有这些对手的行为和攻击者在受害机器上执行的攻击媒介。它基于历史爆发提供了描述以及有关威胁的一些参考；它使用TTP的战术、技术和程序，并将其映射到网络杀伤链；大多数威胁猎捕方法都使用MITRE框架来执行搜寻过程。

5实现威胁猎捕

现在，要执行猎捕，我们需要假设，并且在生成假设之后，根据所使用的任何平台来猎捕或搜索攻击。为了检验假设，可以使用任何可用的工具，例如Splunk，ELK Stack等，但是在开始猎捕之前，请妥善保管数据。Florian Roth为SIEM签名提出了一种新的通用格式———Sigma。大多数Mitre Att&ck技术都映射到Sigma规则，这些规则可以直接合并到SIEM平台中以进行威胁猎捕。还可将Sigma转换为Splunk，arcsight，ELK。

可以在Google工作表上找到Sigma规则转换准备好的列表：

威胁猎捕永远无法实现自动化，但是某些部分可以做到，例如可以在SIEM中直接警告这些Sigma规则，但是调查和分类等部分需要人工操作。

威胁猎捕也可以由分析驱动。用来进行风险评分的机器学习和UEBA也可以用作狩猎假设。大多数网络分析平台都利用此UEBA，ML功能来识别异常。

6威胁狩猎

运行Mimikatz命令进行哈希转储在Word或Excel文件。

打開powershell，要检查此假设，请首先查找数据，是否有适当的数据来寻找该假设，然后寻找winword.exe /execl.exe进程来创建powershell.exe，以及包含（mimikatz）的命令行。

从Internet下载文件。查找用于从浏览器以外的Internet下载文件的过程，certutil.exe，hh.exe可以相同。

7机器学习和威胁猎捕

机器学习在网络威胁猎捕中起着重要作用。可以使用多种算法，例如分类、聚类等，基于SIEM中的日志来识别任何种类的异常和异常值。机器学习在协助寻找威胁方面起着辅助作用，它提供了异常值，分析师将进一步研究以寻找威胁。