Threat hunting odwraca tradycyjny model bezpieczeństwa: zamiast czekać na alerty, proaktywnie zakładasz kompromitację i szukasz dowodów. Wykonane prawidłowo, łapie przeciwników, którzy przejdą obok automatycznych obrón. Ten przewodnik przeprowadza cię przez praktyczny, powtarzalny proces, który możesz zastosować niezależnie od wielkości organizacji lub posiadanych narzędzi.
Dlaczego Hunting Ma Znaczenie
Detektywacja oparta na sygnaturach i nawet większość analityki behawioralnej łapią tylko znane złe wzorce lub oczywiste anomalie. Zaawansowani atakujący celowo operują poniżej tego progu, używając legitymnych narzędzi (living-off-the-land binaries), ważnych poświadczeń i wolnego, cierpliwego ruchu. Threat hunting zamyka tę lukę, mając analityka-człowieka formułującego hipotezy dotyczące zachowania atakujących i aktywnie szukającego potwierdzających dowodów w twojej telemetrii.
Zbuduj Proces Oparty na Hipotezach
Efektywne hunty zaczynają się od konkretnej, testowalnej hipotezy, a nie otwartej ekspedycji poszukiwawczej. Dobre hipotezy zwykle pochodzą z trzech źródeł:
- Threat intelligence: Nowy raport opisuje technikę używaną przez grupę, która atakuje twoją branżę. Hipoteza: "Jeśli ta grupa jest aktywna w naszym środowisku, zobaczylibyśmy PowerShell pobierający payloady za pośrednictwem konkretnego wzorca."
- Luki w MITRE ATT&CK: Zmapuj aktualną dostępność detektywacji na techniki ATT&CK i ustalaj priorytety huntów dla technik, których nie możesz aktualnie automatycznie wykrywać.
- Ciekawość oparta na anomaliach: Niezwykłe czasy logowania, rzadkie relacje proces nadrzędny-podrzędny lub nieoczekiwane połączenia wychodzące, które nie wyzwalają alertów, ale wyglądają dziwnie podczas przeglądu.
Dokumentuj każdą hipotezę, źródła danych, które będziesz badać, i jakie dowody ją potwierdzą lub obalą. Ta dyscyplina uniemożliwia huntom stanie się nieskupione i czyni wyniki powtarzalnymi.
Poznaj Twoje Źródła Danych
Hunt jest tak dobry, jak telemetria za nim stojąca. Główne źródła to:
- Dzienniki Endpoint Detection and Response (EDR): tworzenie procesów, argumenty linii poleceń, zapisy do plików, połączenia sieciowe na proces.
- Dzienniki Zdarzeń Windows: zwłaszcza Security (4624/4625 logony), Sysmon (tworzenie procesów, sieć, rejestr) i dzienniki operacyjne PowerShell.
- Dane sieciowe: dzienniki NetFlow/Zeek dla metadanych połączeń, dzienniki zapytań DNS i dzienniki proxy dla wychodzącego ruchu sieciowego.
- Dzienniki uwierzytelniania: od dostawców tożsamości, sieci VPN i usług katalogowych do dostrzeżenia niemożliwych podróży lub nadużycia poświadczeń.
- Dzienniki audytu chmury: CloudTrail, Azure Activity Logs lub GCP Audit Logs dla zmian uprawnień i nadużycia API.
Scentralizuj je w SIEM lub data lake, gdzie możesz szybko uruchamiać ad-hoc zapytania. Jeśli twoja retencja jest zbyt krótka, hunty na historyczne włamania stają się niemożliwe—dążyć do co najmniej 90 dni gdzie to możliwe.
Praktyczne Techniki Huntingu
Stack counting (analiza częstotliwości): Policz wystąpienia pola—nazwy procesu nadrzędnego, nazwy zaplanowanych zadań, nazwy usług—w całym środowisku. Wartości odstające (proces działający na jednym hoście z dziesięciu tysięcy) często wskazują na coś wartego zbadania.
SELECT parent_process, COUNT(*) as cnt
FROM process_events
GROUP BY parent_process
ORDER BY cnt ASC
LIMIT 50;
Least frequency of occurrence (LFO): Podobnie do stackingu, ale zastosowane do kombinacji, takich jak pary (user, source_ip) do uwierzytelniania, aby ujawnić rzadkie wzorce dostępu.
Baseline deviation: Ustal, co „normalne