啤酒配烧烤、花生配毛豆、西红柿炒鸡蛋，有些东西经常会一起出现。但是httpd.exe与cmd.exe一起出现呢？发现异常的进程关系或“不属于应该一起出现的命令”，可能表明您的环境中存在问题。

在构建威胁搜寻计划时，我们可以遵循多种途径。而且，根据不同狩猎目标，有很多关于如何狩猎和使用什么工具的选择。然而，弄清楚什么样的方法才能实现目标往往也是一个挑战，尤其是当每天都有大量新奇的工具在推销，安全术语在我们左右飞来飞去的时候。我们的目标是过滤掉闪亮的东西，并思考此次计划的要诀，以及如何成功。（点击复习：碳泽解读

销售咨询：sales@tanze.net.cn技术支持：support@tanze.net.cn官网：http://www.tanze.net.cn往期推荐:碳泽解读

(DoD)、民用机构或私营部门的大型企业会被大量安全告警、没有连接的工具和复杂的流程淹没，并且由于人手不足，如果没有合理可行的方法来处理，也是大大降低工作效率浪费人力物力。根据

电子表格中，以生成无用的报告，用于在合规性文档中进行标记……这种枯燥耗时的工作只会疏远各个层次的人才。问题的核心在于工具和流程之间的不断混淆，这一点很容易被科技行业所理解。举几个例子，首字母缩略词

对于任何一个安全专业人员来说，其工作关键要求是了解环境。根据工作角色、描述，了解的详细程度可能会有所不同。比如，我们需要知道哪些资产由谁使用，为什么使用它，哪些应用程序由哪些资产使用等等。当然，同样重要的是，我们需要了解业务。

如果将重大疾病（COVID19、流感、腺鼠疫等）与重大网络安全事件进行比较，就会发现一个主要的共性：他们都专注于感染其他人/机器。这让我开始思考。我们能否利用流行病理论来提高我们应对安全威胁的弹性？01R0

传递，但不是使用哈希来请求票据，而是票据本身被盗并用于验证其所有者的身份。也就是我们获取到其他用户的票据后，再以此票据去请求/连接其他目标，从而就可以达到不需要明文密码就可以访问其他用户的目的。

中提取服务帐户凭据哈希以进行离线破解，攻击者不需要域管理员凭据即可发起此攻击，并且无需向目标发送数据包即可提取服务帐户凭据哈希。如上所述，TGS使用服务密钥进行加密，服务密钥来自于服务所有者帐户的

平台而不是SIEM作为安全运营中心的心脏或大脑中枢，就可以选择自动化收集大多数数据和/或信息的任务。确实应该指示安全运营中心一级分析师团队7x24小时监控

ATT&CK框架，会发现他们通过记录许多已知的攻击者团体并列出他们使用的工具来提供能知觉的服务。仔细检查会发现在许多攻击中使用的一小部分工具和技术，例如Cobalt

positive）”。当告警关联的event包含潜在的恶意意图时，就会引发一个incident。例如，从刚刚通过SSH成功登录到主机的恶意IP启动了不寻常的下载动作。Pagerduty的ITIL