Peut-être que tout le monde est né en pensant que le monde n'existe que pour lui, et quand il découvre qu'il a tort, il commence à grandir
Si vous évitez les détours, vous manquerez le paysage. Quoi qu'il en soit, merci pour l'expérience
Avis de transfert de plateforme de publication : les nouveaux articles ne seront plus publiés sur le blog CSDN, veuillez passer à Knowledge Planet
Merci à tous pour votre attention et votre soutien continus envers mon blog CSDN, mais j'ai décidé de ne pas publier de nouveaux articles ici. Afin de vous offrir de meilleurs services et des échanges plus approfondis, j'ai ouvert une planète de la connaissance, qui proposera des articles techniques plus approfondis et pratiques. Ces articles seront plus précieux et pourront vous aider à mieux résoudre des problèmes pratiques. . Au plaisir de vous voir rejoindre ma planète du savoir, grandissons et progressons ensemble
La rubrique Auto Threat Hunting est mise à jour depuis longtemps. Pour le dernier contenu de cet article, veuillez vous rendre sur :
Veuillez ignorer le contenu de cet article...
0x01 Astuce de chasse aux menaces 1 : Comprenez ce qui est normal dans votre environnement et vous pourrez repérer plus facilement les anomalies
Trop d’entreprises tentent de se lancer dans les abysses de la chasse aux menaces (une recette pour chasser les écureuils et les lapins avec peu de succès) sans comprendre leur environnement. La chasse aux menaces est en fin de compte la pratique consistant à rechercher des éléments inconnus dans un environnement. Il est donc essentiel de comprendre ce qui constitue une « activité normale » par rapport à une activité « suspecte » ou même « malveillante ».
Pour comprendre l'environnement, assurez-vous de disposer d'autant d'informations que possible, y compris des schémas de réseau, des rapports d'incidents précédents et toute autre documentation sur laquelle vous pouvez mettre la main, et assurez-vous de disposer de journaux au niveau du réseau et des points de terminaison pour soutenir votre recherche.
0x02 Conseil de chasse aux menaces n°2 : lors de la mise en place d'une campagne de chasse, commencez par des scénarios généraux et progressez vers des scénarios spécifiques en fonction de vos hypothèses. En faisant cela, vous créez du contexte et comprenez ce que vous recherchez dans l'environnement
Lorsque vous organisez une chasse, commencez par le général, puis passez au spécifique, en fonction de vos hypothèses. En faisant cela, vous créez du contexte et comprenez ce que vous recherchez dans l'environnement
Lorsque les chasseurs de menaces apparaissent pour la première fois dans le cadre d’une chasse aux menaces structurée, nombre d’entre eux ont du mal à formuler leurs premières hypothèses. La raison pour laquelle beaucoup de gens trouvent ce processus difficile est souvent qu’ils essaient d’être un peu trop précis. Plutôt que d’entrer directement dans les détails, essayez d’abord d’être plus général dans vos hypothèses. En faisant cela, vous façonnerez mieux votre chasse et ajouterez des informations contextuelles supplémentaires dans le processus.
0x03 Astuce de chasse aux menaces 3 : Parfois, il est préférable de rechercher des éléments que vous comprenez et connaissez, puis de visualiser, plutôt que de rechercher des éléments qui ne relèvent pas de votre expertise et d'essayer de visualiser des éléments que vous connaissez.
Parfois, il est préférable de rechercher des choses que vous comprenez et connaissez, puis de visualiser, plutôt que de rechercher des choses qui ne relèvent pas de votre expertise et d'essayer de visualiser des choses que vous connaissez.
L’un des défis les plus courants auxquels sont confrontés les nouveaux chasseurs est qu’il est facile de se sortir du pétrin très rapidement. Tous les professionnels de la sécurité de l’information ne sont pas experts en tout, et il en va de même en matière de chasse aux menaces.
Que vous débutiez ou que vous chassiez depuis un certain temps, le même conseil s'applique : recherchez des choses que vous comprenez, puis exploitez ces données grâce à la visualisation. Cela garantit que vous comprenez ce que vous regardez et vous permet de donner un sens aux données et de comprendre comment vous y êtes arrivé.
Si, en essayant de rechercher des données que vous ne comprenez pas, vous êtes plus susceptible de vous tourner vers des données que vous comprenez et de visualiser, ce qui peut ou non conduire à une recherche significative et précieuse.
0x04 Astuce de chasse aux menaces 4 : Toutes les hypothèses ne réussiront pas, et parfois elles peuvent échouer. Mais ne vous découragez pas, revenez en arrière et testez-le à nouveau
Contrairement à des éléments tels que la protection et la détection des menaces, la chasse aux menaces est loin d’être une chose sûre. En fait, la nature même de la chasse aux menaces signifie que vous recherchez l’inconnu. Pour cette raison, toutes les hypothèses que vous recherchez ne seront pas couronnées de succès. En fait, la plupart des chasseurs savent que même s'ils passent des heures à creuser le terrier du lapin qu'ils trouvent, ce trou est plus susceptible de conduire un utilisateur expérimenté à utiliser PowerShell pour gagner du temps qu'à une personne souhaitant chiffrer des attaquants avancés sur votre domaine. manette
Ne laissez pas ces moments vous décourager ! Documentez vos découvertes, ne laissez pas cela être votre fardeau. Documentez vos découvertes, ne vous découragez pas et continuez à chasser. Cela sera payant à long terme
0x05 Astuce de chasse aux menaces 5 : Comprendre votre ensemble d'outils et ses capacités de données est tout aussi important que d'exécuter votre chasse. Si vous ne vérifiez pas que les données attendues sont présentes dans votre outil, les faux positifs rôdent à chaque coin de rue
Cependant, presque tout le monde dans le domaine informatique comprend que chaque outil et chaque technologie est différent et présente des limites spécifiques. Mais parfois, le personnel de sécurité (en particulier les chasseurs de menaces) peut prendre cela pour acquis.
L'un des concepts les plus importants pour « connaître votre technologie » est de connaître ses capacités et ses limites. Si vous avancez sans comprendre, vous risquez de générer des résultats faussement positifs, donnant aux équipes de sécurité un faux sentiment de sécurité.
Avant de créer votre système de recherche, il est essentiel de tester et de valider vos requêtes de recherche pour vous assurer qu'elles renvoient les résultats que vous attendez.
Lien de référence :
https://blog.csdn.net/Ananas_Orangey/article/details/129491146
Vous pensez avoir plusieurs chemins à choisir, mais vous n'avez qu'un seul chemin à suivre