碳泽解读 | 威胁狩猎系列之基础篇

近年来，威胁狩猎已成为信息安全计划的重要组成部分。然而，威胁狩猎的定义仍然是一个问题，行业里对威胁狩猎及其使用方式有多种解释。

在我们看来，威胁狩猎是在企业网络上寻找可疑活动的主动学科。这里想强调一下“主动”这个词，因为这是大多数人感到困惑的地方。后文会详细介绍。

所有威胁狩猎任务都是在假设网络已被破坏并且威胁制造者已经存在的情况下执行的。威胁狩猎的目标是主动寻找和调查网络中的任何可疑行为。要做到这一点，必须对正常情况有很好的了解。然后，可以使用基于假设的过程来寻找异常行为。我们将在本系列的文章中详细讨论威胁狩猎过程。

大多数情况下，威胁猎人都是经验丰富的个人，对威胁形势有很好的了解。他们知道对手是如何利用安全错误配置和漏洞的。他们还精通威胁制造者在不同攻击阶段使用的各种技术。

有了这些知识，威胁猎手就会主动通过可用数据寻找任何突出的指标。在本系列的稍后部分，我们将整理一篇关于如何成为一名优秀威胁猎手的文章，更深入地介绍所需的技能和知识。

许多人误以为威胁狩猎是一项被动任务。威胁狩猎不应将反应性任务作为触发因素。简而言之，威胁狩猎不应以检测告警作为触发器或一组失陷指标开始。这些活动应被视为分析师调查的一部分。我们在下面列举了一些例子进行说明：

正确的例子（假设驱动的威胁狩猎）

1、威胁制造者使用恶意计划任务来维持持久化。

根据名称、任务运行和执行频率查找异常的计划任务。

2、威胁制造者正在渗出大量数据。

使用可用的网络遥测，查找上传到mega.io等网站的数据。

错误的例子

1、从最近的威胁情报报告中提取IOC，在我们的数据中运行它们，并寻找任何命中。

2、调查对用户运行恶意Word文档触发的检测。

基于前面的示例，我们假设威胁猎手可以访问必要的遥测数据。如果某些来源不可用，威胁猎手应记录这些问题，然后开始构建案例以添加它们。

在开始狩猎之前，我们不需要访问所有可能的日志源。访问执行日志和简单形式的网络日志是一个很好的起点。在组建威胁狩猎团队之前，日志保留和访问是需要考虑的重要因素。一个集中的位置来存储（30天）和解析日志将是一个良好的开端。

尽管人们对威胁狩猎赋予不同的含义，但总体目标保持不变。其中一些核心目标是：

根据节省的时间和事件的潜在影响，组织可以期望获得高投资回报率 (ROI)。此外，可以衡量和跟踪所有上述目标的成功程度。一些指标可能包括：

管理团队可以使用这些指标来展示威胁狩猎团队的积极影响，以及如何将威胁狩猎结果直接转化为组织节省的资金。

预告：下一篇将推送《威胁狩猎之如何成为优秀的威胁猎手》，请持续关注！