威胁搜寻 涉及调查假设的攻击场景,而不是跟进现有安全工具生成的警报。
由于缺乏触发警报的明确证据,威胁搜寻需要搜寻者通过对环境中的数据进行各种分析来收集情报。事实上,最成功的搜寻团队依靠的是大规模数据聚合和分析,这超出了日志数据的许多其他用例(例如 IT 监控)。
安全组织搜寻能力的最重要决定因素之一是其收 喀麦隆电话号码数据 集并提供给 SecOps 团队的日志数据的数量和质量。大多数安全专业人员认为,通过其他数据源丰富其安全运营中心 (SOC) 中的系统是他们为增强威胁搜寻能力可以采取的最重要的步骤。
广义上讲,威胁猎手需要访问主机和网络数据源以及云应用程序日志。主机日志可以通过代理或本机日志应用程序(如 Windows 事件转发、Sysmon 实用程序、Linux 架构的审计服务或 MacOS 的统一日志记录)收集。这些日志应提供对 PowerShell 等配置管理实用程序在环境中的使用方式的可见性,因为这些工具通常被寻求保持持久性同时保持低调的攻击者利用。
特定搜寻需要哪些特定数据源取决于正在调查的假设。标准知识库和框架包括 MITRE 攻击和 CK 关联一个数据源列表,可以检查其中包含的每个 TTP 的证据。
由于 IT 组织和全球网络威胁形势瞬息万变,数据追踪者所依赖的数据平台必须能够快速从各种来源获取和索引各种类型的数据。它们还需要足够灵活,能够整合其他来源,而无需重新提取、转换和加载 (ETL) 原始数据集。