威脅獵捕顛覆了傳統安全模型:你不再被動等待警報,而是主動假設系統已遭入侵並主動尋找證據。做得好的話,它能捕捉那些躲過自動防禦的對手。本指南將帶你通過一個實用、可重複的流程,無論你的組織規模或工具集如何,都能應用。
為什麼獵捕很重要
基於簽名的檢測,甚至大多數行為分析只能捕捉已知的惡意模式或明顯的異常。精明的攻擊者刻意在這個閾值下運作,使用合法工具(living-off-the-land binaries)、有效憑證和緩慢、耐心的移動。威脅獵捕通過讓人類分析師針對攻擊者行為形成假說,並在你的遙測中主動搜索支持證據,縮小了這個差距。
建立假說驅動的流程
有效的獵捕始於具體、可測試的假說,而不是無目標的釣魚遠征。好的假說通常來自三個來源:
- 威脅情報:新報告描述了針對你所在行業的某個組織使用的技術。假說:「如果這個組織在我們的環境中活躍,我們會看到 PowerShell 透過特定模式下載有效負載。」
- MITRE ATT&CK 差距:根據 ATT&CK 技術對比你目前的檢測覆蓋範圍,優先獵捕那些你目前無法自動檢測的技術。
- 異常驅動的好奇心:不尋常的登入時間、罕見的父子進程關係,或意外的出站連接,這些雖然不會觸發警報但在審查時看起來很奇怪。
記錄每個假說、你將查詢的資料來源,以及什麼證據會確認或反駁它。這種紀律防止獵捕變得失焦,使結果可重現。
了解你的資料來源
獵捕的品質取決於背後的遙測。核心來源包括:
- 端點檢測與回應 (EDR) 日誌:進程建立、命令列引數、檔案寫入、每個進程的網路連接。
- Windows 事件日誌:特別是安全性 (4624/4625 登入)、Sysmon(進程建立、網路、登錄)和 PowerShell 操作日誌。
- 網路資料:NetFlow/Zeek 日誌用於連接元資料、DNS 查詢日誌和代理日誌用於出站網路流量。
- 驗證日誌:來自身分識別提供者、VPN 和目錄服務的日誌,用於識別不可能的登入或憑證濫用。
- 雲稽核日誌:CloudTrail、Azure Activity Logs 或 GCP Audit Logs 用於特權變更和 API 濫用。
將這些集中在 SIEM 或資料湖中,你可以快速執行臨時查詢。如果你的保留期太短,針對過往入侵的獵捕將變得不可能——盡可能達到至少 90 天的保留期。
實踐獵捕技術
堆疊計數(頻率分析):計算一個欄位在你的環境中出現的次數——父進程名稱、排程工作名稱、服務名稱。異常值(一個進程在一萬個主機中只在一個上運行)往往表示值得調查的事情。
SELECT parent_process, COUNT(*) as cnt
FROM process_events
GROUP BY parent_process
ORDER BY cnt ASC
LIMIT 50;
最低出現頻率 (LFO):類似於堆疊但應用於組合,例如驗證的 (user, source_ip) 配對,以浮出罕見的存取模式。
基線偏差:建立主機或使用者的「正常」樣子(典型登入時間、常見進程),並標記偏差。這需要初期的分析投資,但對於持續的獵捕是值得的。
在 IOC 和 TTP 上樞轉:從已知指標(雜湊、網域、IP)或技術(例如 T1055 進程注入)開始,在所有可用日誌中搜索相關活動,然後從任何命中向外樞轉以找到相關基礎設施或受影響的主機。
值得學習的工具
- Sysmon + Sigma rules:Sysmon 提供豐富的端點遙測;Sigma 為你提供可攜式規則格式,用於在 SIEM 平台上檢測和獵捕。
- Velociraptor 或 osquery:當你需要立即檢查數百個端點以尋找特定成品時,用於進行全隊現場查詢。
- Zeek:用於超越簡單 NetFlow 的深度網路協議分析。
- MITRE ATT&CK Navigator:隨著時間推移追蹤和視覺化獵捕覆蓋範圍。
閉合迴圈
每次獵捕應該產生「沒有發現任何東西」之外的結果。如果你確認了惡意活動,將其輸入到事件回應中。如果你發現能見度差距,將其提出為檢測工程工單。如果一個獵捕技術證明很有價值,將其轉換為自動檢測規則,以便未來的實例觸發警報而無需手動工作。這將威脅獵捕轉變為整個安全計畫的持續改進引擎,而不是一次性練習。
保持獵捕日誌,記錄假說、使用的查詢和發現——這種機構知識會隨著時間複利增長,使新獵捕者的入職速度快得多。
準備好深入了解嗎?探索 Korra Studio 的數位鑑識和藍隊課程,建立與威脅獵捕自然配對的檢測和調查技能。