威胁狩猎

含义

威胁狩猎，顾名思义指的是主动去发现威胁的过程，其实也与日常接触到的渗透测试一样，模拟黑客的行为去主动发现一些风险。

图片来源：http://blog.nsfocus.net/penetration-test-class/

为什么要主动去发现威胁呢？因为对于高级别的威胁事件下，防守方是处于事后补救的过程，只有发现异常，才能进一步追溯发现最初的威胁源头。对于威胁狩猎，大量的工作是参考，创建和更新系统和网络清单。如果将其作为一种职业发展的技能，目前还没有比较全面的权威标准来指导，相当于这个方向的从业人员还是比较少。

威胁狩猎就是寻找自动检测机制中无法发现的异常，这意味着需要手动进行异常检测，也就是一定要人去参与进来，比如AI主导世界的大论调，这可能是与之相反的，有时这也意味着要清除或者排除掉正常现象，处理误报的过程往往是孤独且单调的。例如，假设发现一个在主机上半夜运行的二进制文件，这是很奇怪的！因此，最终的入口点将会是搜索该行为的普遍性，并查看该行为是否在该部门的其他主机上运行，也就是要判断是不是误报。

内容来源：https://www.secrss.com/articles/20176

同时，如果发现这台主机在一个奇怪的较低端口（网络端口范围从0到65535）上与一个奇怪的内部系统进行了通信，而这之前从未见过。于是在这种情况下，该行为在网络里是非常异常的，需要进行调查，最终调查人员与该部门的IT人员或用户进行了交谈，发现出现该过程主要是他们使用的某些特殊软件造成的，而怪异的系统是专用于此的服务器，而这一切都是合法的。不过任务还没有完成，现在，必须将这些内容写下并记录下来。它必须位于其他分析师可以快速引用它的地方，避免时间一长就无法查找相关信息。

预期

除此之外，分析师必须知道如何访问组织正在运行的任何清单里的软件并与之交互。网络是调查工作的关键部分，而有效地做到这一点的能力是调查人员必须将其发展的一项技能。并非所有的威胁狩猎都通过服务器来追踪到攻击者，它主要是查找正常情况并记录下来，以便自己（或自己的同龄人）以后不必花太多时间在它们上面，减少重复工作。

至于需要学习的知识有哪些？

首先要考虑一下在调查过程中可能会发现的每一种行为，问下自己，我将如何确定这些行为是否正常？自己应该能够回答最常见的行为类型。行为可能包括进程启动，不同协议的网络通信，身份验证，文件删除以及许多其他可观察到的事情。但有时还可以使用其他知识来源，例如资产数据库。例如，如何知道身份验证行为是否正常？好吧，可以查看过去的身份验证行为，查看部门内的那些行为，查看将来的身份验证行为，询问用户，或查看安全性Wiki或过去的凭单。更广泛地说，要确定行为是否正常，就意味着要设计SIEM/数据搜索查询（回顾过去），设置新的数据捕获（回顾未来）或检查其他信息来源（资产DB，AD，等等）。

最后两个是最容易被忽略的，你可以将其想像为试图确定某些测试结果对患者而言是否正常的医生。一是他们会从历史事件上关联然后判断当前的结论，二是如果不是判断将来发生的事实的话，有时他们会检查事实的相关来源。

如果你是威胁猎人，那么你也是网络知识的保管人。花一些时间来发展这项技能。

从今天开始有两种很棒的方法，首先，你是否拥有某种Wiki或存储库，可以在其中存储网络知识？如果没有？就设置一个。其次，找出你使用的资产数据库软件，获得访问权限，并学习如何有效而快速地查询它。

Source

https://threader.app/thread/1351543374126477312