---

也许每个人出生的时候都以为这世界都是为他一个人而存在的当他发现自己错的时候他便开始长大

少走了弯路也就错过了风景无论如何感谢经历

---

转移发布平台通知将不再在CSDN博客发布新文章敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流我开设了一个知识星球内部将会提供更深入、更实用的技术文章这些文章将更有价值并且能够帮助你更好地解决实际问题。期待你加入我的知识星球让我们一起成长和进步

---

汽车威胁狩猎专栏长期更新本篇最新内容请前往

• [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门你必须知道的那些事「7万字详解」

本文内容请忽略… …

0x01 威胁狩猎技巧 1了解你的环境中什么是正常情况那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下跳入威胁狩猎的深渊这是一个追逐松鼠和兔子而且收效甚微的方法。 威胁狩猎最终是在一个环境中寻找未知因素的做法因此了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

为了理解环境请确保你能获得尽可能多的信息包括网络图、以前的事件报告以及能得到的任何其他文件并确保你拥有网络和终端层面的日志以支持你的狩猎

0x02 威胁狩猎技巧 2当建立狩猎活动时根据你的假设从一般的情况开始再到具体的情况。通过这样做可以创建上下文并了解你在环境中寻找的是什么

当建立狩猎活动时根据你的假设从一般的情况开始再到具体的情况。通过这样做可以创建上下文并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上不如先尝试在你的假设中更多地体现出一般的情况。通过这样做你将更好地塑造你的狩猎并在此过程中增加额外的上下文信息

0x03 威胁狩猎技巧 3有时最好狩猎你了解和知道的事物然后进行可视化而不是狩猎你专业知识之外的事物并尝试进行可视化到你知道的事物上

有时在你了解和知道的事情上狩猎然后再进行可视化与在你的专业知识之外的事情上狩猎并试图可视化到你知道的事情上效果更好。

新的猎手遇到的最常见的挑战之一是很容易很快摆脱困境。并不是每个信息安全专业人员都是所有领域的专家在威胁狩猎方面也是如此

无论你是刚开始还是已经狩猎了一些时间同样的建议是正确的狩猎你理解的东西然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西并让你对数据进行理解以及理解你是如何到达那里的

如果试图在你不了解的数据上狩猎你更有可能倾向于你了解的数据并对其进行可视化这可能或不可能真正导致有意义和有价值的狩猎

0x04 威胁狩猎技巧 4并非所有假设都会成功有时可能会失败。但是不要气馁回去再测试一下

与威胁保护和威胁检测等事情不同威胁狩猎远不是一件肯定的事情。事实上威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此所以并不是你狩猎的每一个假设都会成功。事实上大多数猎手都知道虽然他们可能会花几个小时去挖掘他们发现的兔子洞但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻让你灰心丧气记录你的发现不要让它成为你的负担。记录你的发现不要气馁并继续狩猎。从长远来看它将会得到回报

0x05 威胁狩猎技巧 5了解你的工具集及其数据功能与执行你的狩猎同样重要。如果你没有验证工具中是否存在预期的数据则误报就会潜伏在每个角落

虽然在 IT 领域几乎每个人都明白每个工具和技术都是不同的并且都有特定的局限性。但有时安全人员尤其是威胁猎手可能会认为这是理所当然的

关于 “了解你的技术”最重要的概念之一是了解它的能力以及它的局限性是什么。如果你在不了解的情况下贸然前进很可能会产生误报的结果给安全团队一种错误的安全感

在建立你的狩猎系统之前必须测试和验证你的搜索查询以确保它们返回你所期望的结果这是至关重要的

参考链接

https://blog.csdn.net/Ananas_Orangey/article/details/129491146

---

你以为你有很多路可以选择其实你只有一条路可以走

---