Hipotez geliştirme
Avlanma bir Hipotez ile başlar. Ne avlayacağımız fikri. Bu hakkın alınması kritik öneme sahiptir çünkü bu, yapacaklarımıza odaklanmamızı sağlar. İyi bir Hipotez yapan nedir?
Birçok faktör vardır, ancak önemli faktörler şunlardır:
Ulaşılabilir olmasını sağlayın. Sonuç bulma umudunuz olmadığını bildiğiniz bir av yapmayın. Kullanılabilir verilere sahip olmayabilir veya bu verileri nasıl bulabileceğinizi anlamak için tehdit hakkında yeterli bilgiye sahip olmayabilirsiniz.
Kapsamı dar tutun. "Tuhaf oturum açmaları avlayacağım" gibi geniş bir hipotezden kaçının. Böyle bir hipotez, sonuçların ne anlama gelebilir tanımlamayı başaramıyor.
Zamana bağlı tutun. Günlüklerinizin başlangıcından bu yana herhangi bir oturum açmayı mı arıyorsunuz? Geçen haftayı mı arıyorsun? Son gün mü? Zaman sınırlaması belgelerde de kullanılır. Tehdit Avcılığı'nın sürekli bir süreç olmasını isteyeceksiniz. Avlarınızı zaman sınırlamazsanız aynı avları aynı veri kümesinde tekrarlama olasılığınız vardır. "Şu anda bu avı ben yaptım, bu dönemi kapsıyorum" diyebilirsiniz. Bu belgeyle, ekip üyeleriniz bu Hipotez ile hangi dönemin avlandığını bilecekler.
Kullanışlı ve verimli tutun. Algılamalarınızda yeterli kapsama sahip olmayabilirsiniz tehditleri hedeflemek istiyorsunuz. Bunlar, daha önce kaçırdığınız veya algılamadığınız şeyler olabilir. İyi bir SOC ekibi genellikle kapsamlarının nerede iyi olduğu ve nerede daha zayıf olabileceği ve geliştirilmesi gerektiği konusunda iyi bir fikre sahiptir. Bunun gerçekçi tehditlerle ilgili olduğundan da emin olmak istiyorsunuz. İçinde olmadığınız bir sektörü veya kullanmadığınız bir platformu hedefleyen gelişmiş bir tehdit için avlanmanın bir anlamı yoktur.
Savunduğunuz tehdit modeliyle ilgili tutun. Aksi takdirde, asla bulamayacağınız ve tehdit olmayan şeyler için tehdit avcılığı yaparak çok zaman harcayabilirsiniz.
En gelişmiş tehditlerin peşinden giderek Tehdit Avcılığı yolculuğunuza başlamayın. Temel bilgilerle başlayın ve kuruluşunuzun Tehdit Avcılığı özelliklerini artımlı olarak olgunlaşın. Basit bir Av Hipotezi ile başlayın. Örnek bir hipotez, bir Threat Actor'un cmd.exe işlemini kullanan otomatik saldırılara sahip olduğu Threat Intel'e sahip olmamız olabilir.
Başka bir hipotez; Hesapların cmd.exe çalıştırdığı ancak son hafta boyunca cmd.exe çalıştırmadığı son günü denetlemek istiyoruz.