開發假設
搜捕會從假設開始。 我們即將搜捕內容的概念。 釐清這一點至關重要,因為這能使我們將焦點放在要做的事上。 什麼是好的假設?
有許多因素,但以下是重要的因素:
保持可實現。 請勿執行您知道無法找到結果的搜捕。 可能是您沒有可用的資料,或對威脅了解不足,不知道如何進行搜尋。
讓範圍保持小範圍。 避免廣泛假設,例如「我即將搜捕奇怪的登入」。這類假設無法定義結果可能代表的意義。
保持時間界限。 您是否在尋找自記錄開始之後的任何登入? 您是否要尋找上週? 前一天? 時間界限也會用於文件中。 您會想讓威脅搜捕成為持續的流程。 如果您未對搜捕設定時間界限,很有可能會對相同資料集進行重複的相同搜捕。 您將能夠說:「我這次進行此搜捕,涵蓋這段期間」。記載之後,您的小組成員便能知道在此假設中搜捕的期間。
保持實用且有效率。 您想要以在您的偵測中可能沒有足夠涵蓋範圍的威脅為目標。 這可能是您先前錯過或未偵測到的項目。 良好的 SOC 小組通常會對於其涵蓋範圍何處良好,以及何處可能較弱並需要改善擁有良好的概念。 您也想確定此與實際威脅有關。 搜捕以您未身處的產業或您未使用的平台為目標的進階威脅並無任何意義。
讓它與您正在防禦的威脅模型保持相關。 否則,您可能會花太多時間來搜捕您永遠找不到的項目,但這些卻不是威脅。
請勿讓您的威脅搜捕旅程從追逐最進階的威脅開始。 從基本項目開始並逐步遞增,讓您組織的威脅搜捕功能成熟。 從簡單的搜捕假設開始。 假設的一個範例為,我們有威脅情報指出威脅執行者具有使用 cmd.exe 流程的自動化攻擊。
另一個假設會是:我們想要檢查在前一天執行 cmd.exe 但在過去一週沒有執行 cmd.exe 的帳戶。