渗透测试之聊聊威胁狩猎
💡
原文中文,约2900字,阅读约需7分钟。
📝
内容提要
本文介绍了威胁狩猎的流程,包括收集数据、建立假设、工具分析、丰富威胁上下文和分析自动化。可以依托痛苦金字塔模型和ATT&CK框架来确定各项指标。工具分析方面,可以使用ELK、Splunk、Suricata或者Snort等工具。通过案例介绍了如何使用狩猎规则来发现潜在的威胁。
🎯
关键要点
- 威胁狩猎旨在发现逃避传统安全设备的未知威胁,流程包括收集数据、建立假设、工具分析、丰富威胁上下文和分析自动化。
- 收集数据包括Windows日志、Linux日志和流量,需覆盖所有通信流量并进行标准化解析。
- 建立假设时可依托痛苦金字塔模型和ATT&CK框架,帮助确定指标和分析攻击者行为。
- 工具分析可使用ELK、Splunk、Suricata或Snort等工具,结合开源检测规则集进行威胁狩猎。
- 丰富威胁上下文需要复现完整攻击路径,通过ATT&CK框架分析操作的原因。
- 分析自动化是威胁狩猎的关键,需考虑规则的可信度以提升准确率。
- 案例中通过分析流量发现网站API泄露和目录遍历漏洞,形成有效的狩猎规则。
➡️
