浅谈威胁狩猎（Threat Hunting）

威胁狩猎，顾名思义，就是在网络安全的世界中寻找威胁，威胁每天都在变化。因此，开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。

从威胁狩猎的定义开始，通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

威胁狩猎不是一种技术，而是一种方法。作为一名安全分析师，威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。

威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。

[[283222]]

一、为什么要做威胁狩猎?

在传统的安全监视方法中，大多数蓝队成员基于SIEM或其他安全设备触发的警报来寻找威胁。 除了警报驱动的方法之外，为什么我们不能添加一个连续的过程来从数据中查找内容，而没有任何警报促使我们发生事件。 这就是威胁搜寻的过程，主动寻找网络中的威胁。 可以使用此过程来查找现有安全解决方案无法识别的威胁或绕过解决方案的攻击。 因此，为什么不能将其驱动为警报驱动，原因是警报驱动主要是某种数字方式而非行为方式。

威胁狩猎的方法：

• 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。
• 对于威胁猎人而言，保持最新的安全研究非常重要。
• 自动化/机器辅助-分析师使用利用“机器学习”和“ UEBA”功能的软件来告知分析师潜在风险。
• 它有助于提供预测性和规范性分析。
• 威胁情报源增加了分析。

二、如何进行猎捕?

请遵循以下提到的步骤：

• 建立假设–假设意味着您要查找的内容，例如查找与Internet等建立连接的powershell命令。
• 收集数据–根据假设，更加狩猎查找您需要的数据。
• 测试假设并收集信息–收集数据后，根据行为，搜索查询来查找威胁。
• 自动化某些任务–威胁搜寻永远不能完全自动化，而只能是半自动化。
• 实施威胁搜寻–现在，不执行即席搜寻，而是实施您的搜寻程序，以便我们可以连续进行威胁搜寻。

三、如何产生假设?

只需阅读文章，安全新闻，新的APT公开报告，Twitter和一些安全网站可获得。 威胁猎捕是对各种数据源(例如端点，网络，外围等)执行的。它只是有效地运用我们的知识来发现异常。 需要批判性思维能力。 由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。

四、MITER ATT&CK辅助威胁猎捕

大多数威胁猎捕平台都使用“ Attack MITRE”对手模型。 MITER ATT&CK™是基于现实世界观察结果的全球对抗性战术和技术知识库。 Attack MITER还提出了一个名为“ CAR”的网络分析存储库。 MITER团队列出了所有这些对手的行为，并且攻击者在受害机器上执行的攻击媒介。 它基于历史爆发为您提供了描述以及有关威胁的一些参考。 它使用TTP的战术，技术和程序，并将其映射到网络杀伤链。 大多数威胁猎捕方法都使用Mitre框架来执行搜寻过程。

五、实现威胁猎捕

现在，要执行猎捕，我们需要假设，并且在生成假设之后，我们可以根据所使用的任何平台来猎捕或搜索攻击。 为了检验假设，您可以使用任何可用的工具，例如Splunk，ELK Stack等，但是在开始猎捕之前，请妥善保管数据。 Florian Roth为SIEM签名提出了一种新的通用格式– SIGMA。 大多数Mitre Att&ck技术都映射到Sigma规则，这些规则可以直接合并到您的SIEM平台中以进行威胁猎捕。 还可将Sigma转换为Splunk，arcsight，ELK。

可以在Google工作表上找到Sigma规则转换准备好的列表：

• 威胁猎捕永远无法实现自动化，但是某些部分可以做到，例如可以在SIEM中直接警告这些sigma规则，但是调查和分类的后面部分需要人工操作。
• 威胁猎捕也可以由分析驱动。 用来进行风险评分的机器学习和UEBA也可以用作狩猎假设。 大多数网络分析平台都利用此UEBA，ML功能来识别异常。

六、威胁狩猎

1.运行mimikatz命令进行哈希转储在Word或excel文件打开powershell –要检查此假设，请首先查找数据，我们是否有适当的数据来寻找该假设，然后寻找winword.exe /execl.exe进程来创建powershell.exe ，以及包含(mimikatz)的命令行。

2.从Internet下载文件–查找用于从浏览器以外的Internet下载文件的过程，certutil.exe，hh.exe可以相同。

3.Powershell下载支持event_data.CommandLine：(* powershell * * pwsh * * SyncAppvPublishingServer *)和event_data.CommandLine：(* BitsTransfer * * webclient * * DownloadFile * * downloadstring * * wget * * curl * * WebRequest * * WinHttpRequest * iwr irm “ * internetExplorer.Application *”“ * Msxml2.XMLHTTP *”“ * MsXml2.ServerXmlHttp *”)

七、机器学习和威胁猎捕

机器学习在网络威胁猎捕中起着重要作用。 可以使用多种算法，例如分类，聚类等，基于SIEM中的日志来识别任何种类的异常和异常值。 机器学习在协助寻找威胁方面起着辅助作用，因为它为我们提供了异常值，分析师将进一步投资以寻找威胁。