原文Sqrrl
https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf
發布單位介紹:
Sqrrl是一家威脅狩獵服務提供商,2012年成立,獲多家投資,2018年被AWS收購,網站在2019年下線,
Sqrrl的創始人Ely Kahn及核心成員曾為NSA服務,具備專業的網路安全和大資料背景,在NSA作業期間,開源了資料庫Accumulo,并成為了apache頂級專案,Accumulo是PRISM棱鏡專案架構的核心,大多數NSA的關鍵分析應用都運行在Accumulo上,Accumulo是一款有序的分布式kv資料庫,其特性為服務端編程、單元權限控制,優點是可擴展(基于hdfs)、穩定(遵循規范,發布前測驗),
Sqrrl的威脅捕獲平臺,能夠幫助客戶定位(target)、捕獲(hunt)、阻斷(disrupt)高級網路威脅,通過連接分析、用戶物體行為分析(UEBA)、PB級擴展能力的集成解決方案,
Sqrrl收集并融合了各種安全資料集,包括網路流量日志、DNS日志、代理資料、用戶目錄、身份資訊、外部情報員和客戶交易等,Sqrrl利用這些資料來發現可疑行為,查明涉事人員,并評估企業的風險暴露程度,
客戶有:Amazon, CA, Cloudera, Dell, Eucalyptus, Fusion-io, Hortonworks, IBM, MapR, Nutanix, Pentaho, Pivotal, Splunk, Cyphort,
問題:
如何度量組織在威脅捕獲的現狀,下一步如何發展
定義 threat hunting:
We define hunting as the process of proactively and iteratively searching through networks to detect and isolate advanced threats that evade existing security solutions.
威脅捕捉是以檢測和阻斷繞過現有安全措施的高級威脅為目標,在網路主動、迭代的搜索程序,
threat hunting 手段:
以半自動化的方式,從資料中發現可疑行為模式,總結規律或者ttp,建立自動化分析的能力,
threat hunting 目標
提升檢測能力,建立原型實作新的自動化
定位:
威脅捕獲是SOC下一步的發展
威脅捕獲流程
- 提出假設
- 通過工具調查
- 發現新模式和ttp
- 自動化,增強分析、檢測系統
威脅捕獲矩陣(威脅捕獲能力等級-威脅捕獲流程)
翻譯版
說明:
PoP:Pyramid of Pain, 威脅情報痛苦金字塔,David J. Bianco在2014年提出
| HM0 初始階段 | HM1 最小規模階段 | HM2 流程化階段 | HM3 創新階段 | HM4 領導階段 | |
|---|---|---|---|---|---|
| 資料收集 | 很少,或者沒有 | 能夠收集IT環境中一些關鍵節點的資料 | 能夠收集IT環境中某些型別的資料 | 能夠收集IT環境中某些型別的資料 | 能夠收集IT環境中某些型別的資料 |
| 建立假設 | 僅僅去處理SIEM/IDS/防火墻中的告警 | 根據威脅情報去構建新假設 | 根據威脅情報、專家經驗去構建新假設 | 根據威脅情報、專家經驗、人工風險評分去構建新假設 | 根據威脅情報、專家經驗、自動化的風險評分去構建新假設 |
| 通過工具和技術去驗證假設 | 在告警終端、SIEM中搜索,沒有主動的調查 | 以全文檢索或者sql的方式,利用SIEM或日志分析工具進行搜索 | 基于現在的捕獲流程,利用簡單的工具去搜索分析資料,來驗證假設 | 具備可視化和關聯分析能力,構建新的捕獲流程 | 具備高效的可視化和關聯分析能力,實作了新流程的構建自動化 |
| 檢測模式&TTP | 無,或者僅有SIEM/IDS告警 | 通過金字塔底層的IOC檢測 | 通過金字塔中層和下層的IOC進行檢測,并根據時間分析這些ioc的趨勢變化 | 能夠根據對手的TTP和金字塔頂層的IOC進行檢測 | 自動化的檢測復雜TTP,追蹤戰役,支持組織間的情報IOC共享 |
| 分析自動化 | 無 | 使用威脅情報feed進行自動化告警 | 建立有效的捕捉流程庫,并定期運行 | 建立有效的捕捉流程庫,并經常運行,具備基礎的資料分析能力(基線、離群點分析) | 自動化的捕捉流程發布與構建,高水平的資料分析能力(機器學習) |
英文版
提升途徑(在矩陣中右移)
- 提出假設:動態的提出假設,自動化的得到假設的風險值
- 通過工具調查:工具具備有效的可視化和圖檢索能力
- 發現新模式和ttp:從僅用IOC到復雜任務(TTP匹配)
- 分析和自動化:通過機器學習,增強分析、檢測系統
參考資料
https://www.freebuf.com/articles/neopoints/219164.html
https://blog.csdn.net/qq_36334464/article/details/101776101
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/196055.html
標籤:其他