制定假设
搜寻始于假设。 关于要搜寻的内容的概念。 正确制定假设非常重要,因为它促使我们将注意力集中在要完成的事情上。 怎样制定好的假设?
有很多因素,但以下是关键因素:
使其保持可实现。 不要执行你知道不可能找到结果的搜寻。 你可能没有可用数据或不够了解威胁,不知道如何找到它。
缩小范围。 避免使用宽泛的假设,如“我要搜寻奇怪的登录。”这样的假设无法定义结果的含义。
设置时间限制。 你是否要从日志开头开始查找任何登录? 还是要查找上周? 最后一天? 还应在记录中使用时间限制。 你希望威胁搜寻是一个持续的过程。 如果没有为搜寻设置时间限制,那么你最终可能会针对同一数据集重复执行相同的搜寻。 你可以表明“我在这个时候对这个时段进行过此搜寻。”通过此记录,团队成员将知道使用此假设进行搜寻的时间段。
保持有效且高效。 你需要在检测中发现没有充足覆盖范围的威胁。 这可能是你知道之前遗漏或未检测到的威胁。 优秀的 SOC 团队通常很清楚其覆盖范围较好的地方,以及覆盖范围较弱且需要改进的地方。 你还需要确保它与实际威胁相关。 在你未涉足的行业或未使用的平台中搜寻高级威胁毫无意义。
使其与你要防御的威胁模型相关。 否则,你可能会花费大量时间来搜寻你永远无法找到的内容,并且这些内容不是威胁。
不要基于最尖端的威胁开始威胁搜寻旅程。 从基础威胁开始,然后逐渐完善组织的威胁搜寻能力。 从简单的搜寻假设开始。 一个示例假设是,我们收到威胁情报,威胁参与者使用 cmd.exe 进行进行自动攻击。
另一个假设可能是:我们想要检查在过去一周未运行 cmd.exe 的帐户运行 cmd.exe 的最后一天。