Desenvolver uma hipótese
A busca começa com uma Hipótese. A idéia do que vamos caçar. Obter esse direito é fundamental porque ele impulsiona nossos focos no que vamos fazer. O que torna uma boa hipótese?
Há muitos fatores, mas aqui estão os principais:
Mantenha-o alcançável. Não faça uma caçada onde você sabe que não tem esperança de encontrar resultados. Pode ser que você não tenha os dados disponíveis ou não tenha conhecimento suficiente sobre a ameaça para entender como encontrá-los.
Mantenha o escopo estreito. Evite uma hipótese ampla, como "Vou caçar logons estranhos". Essa hipótese não define o que os resultados podem significar.
Mantenha o tempo limitado. Você está procurando por entradas desde o início de seus logs? Está procurando a semana passada? O último dia? O limite de tempo também é usado na documentação. Você desejará que a Busca de Ameaças seja um processo contínuo. Se você não associar o tempo às suas caçadas, há uma chance de que você acabe apenas repetindo a mesma caçada no mesmo conjunto de dados. Você será capaz de dizer: "Eu fiz esta caçada, neste momento, cobrindo este período." Com isso documentado, os membros da equipe saberão por qual período foi buscado com essa Hipótese.
Mantenha-o útil e eficiente. Você deseja direcionar ameaças para as quais talvez você não tenha cobertura adequada em suas detecções. Essas podem ser coisas que você sabe que já perdeu ou que não detectou. Uma boa equipe soc normalmente tem uma boa idéia sobre onde sua cobertura é boa e onde pode ser mais fraca e precisa de melhorias. Você também deseja garantir que ele esteja relacionado a ameaças realistas. Não adianta procurar uma ameaça avançada que tenha como alvo uma indústria em que você não está ou uma plataforma que você não está usando.
Mantenha-o relacionado ao modelo de ameaça que você está defendendo. Caso contrário, você pode gastar muito tempo procurando por coisas que nunca encontrará e que não são uma ameaça.
Não inicie sua jornada de Busca de Ameaças após as ameaças mais avançadas. Comece com as noções básicas e amadureça incrementalmente os recursos de Busca de Ameaças da sua organização. Comece com uma hipótese de caça simples. Uma hipótese de exemplo pode ser que temos a Inteligência contra Ameaças que um Ator de Ameaça tem ataques automatizados que usam o processo de cmd.exe.
Outra hipótese pode ser; Queremos verificar o último dia em que as contas foram executadas cmd.exe, mas que não foram executadas cmd.exe durante a última semana.