许多企业在建设安全运营中心（SOC）后，面临日志量大和假阳性告警高的问题，传统SOC难以有效捕捉APT攻击，分析师工作压力大。文章提出优化建议，包括使用用户行为分析（UEBA）建立用户行为模型，将MITRE ATT&CK转化为关联规则，结合SIEM、SOAR和AI技术，确保告警闭环，引入业务日志和外部情报，培养威胁狩猎小组，以提升SOC的实战能力。

现代网络安全威胁已超越传统防御，企业需采用主动狩猎方法识别复杂威胁。通过假设驱动和MITRE ATT&CK框架，安全专家能够从被动响应转向主动预测，缩短威胁驻留时间。有效的威胁狩猎结合结构化方法、先进技术和持续适应，提升组织安全能力。

文章强调SIEM规则优化的重要性，分析师需深入理解规则机制，而非仅调整告警。有效优化应基于MITRE ATT&CK框架，提升安全检测能力，构建自我修复的安全生态。通过评估规则库、告警质量和性能瓶颈，识别潜在风险，实现主动安全防御。

介绍了新的网络威胁报告数据集AnnoCTR，由领域专家标注，包括命名实体、时间表达式和网络安全特定概念。数据集与维基百科和MITRE ATT&CK知识库相连。实验研究表明，MITRE ATT&CK的概念描述对于识别文本中的概念是有效的训练数据增强来源。

本文介绍了MITRE ATT&CK v13中防御规避战术的第37-42种子技术，包括未使用的云区域、使用备用身份验证材料、利用有效账户等。同时，文章还介绍了相应的检测方法和缓解措施。此外，本文还介绍了虚拟化/沙箱逃逸、削弱加密和利用xsl文件执行脚本等技术及其子技术的原理和缓解措施。下期将介绍凭证访问战术涉及的技术原理。

本文介绍了MITRE ATT&CK v13中的防御规避战术，包括42种技术，本期介绍第25-30种技术，分别是plist文件修改、在操作系统前启动、进程注入等。同时，本文还介绍了反射代码注入、注册恶意域控制器和使用Rootkit等技术的原理和检测方法。

本文介绍了MITRE ATT&CK v12版本中的防御规避战术，包括42种技术，本期介绍第19-24种技术，涉及HTML Smuggling、动态API解析、剥离有效载荷、嵌入式有效载荷等技术。文章提供了缓解措施和检测方法，建议采取多种缓解措施，如限制注册表权限、提供加密签名、使用多重身份验证等。同时，可以通过监控实例、快照、卷、命令、文件、网络流量等数据源来检测这些攻击。下期将介绍防御规避战术（五）的技术原理。

MITRE ATT&CK v12是一个全球可访问的基于现实世界观察的对手战术和技术知识库，本期介绍了14种提权技术，包括提升控制权限机制、绕过用户帐户控制、Sudo和Sudo缓存、带提示的提权执行、注册表运行键/启动文件夹、认证包、时间提供程序、Winlogon帮助程序DLL、安全支持提供程序、内核模块和扩展、重新开启申请、LSASS驱动程序、快捷键修改、端口监视器、打印处理器、XDG自启动和ActiveSetup等，检测方法包括监控已执行的命令和参数、文件系统中设置了setuid或setgid位的文件、/etc/sudoers文件中的LOG_INPUT和LOG_OUTPUT指令记录所有输入和输出。