本文深入探讨了威胁狩猎的关键流程，旨在帮助安全人员在大数据中发现逃避传统安全设备的攻击手法。文章详细阐述了数据收集的重要性，包括Windows和Linux系统的各类日志数据，以及流量采集的关键点。强调了建立假设在威胁狩猎中的核心作用，并介绍了如何利用痛苦金字塔模型和ATT&CK框架来确定指标。此外，还讨论了工具分析，从商业安全设备到开源工具，以及如何将威胁假设转化为检测规则。最后，文章强调了分析自动化的重要性，并提出了通过规则可信度提升规则优化空间，保证检出准确率的思路。

💾数据收集：威胁狩猎的基础在于全面收集数据，包括Windows和Linux系统的各类日志数据，如操作系统日志、应用程序日志、审计日志等，以及流量数据，确保覆盖网络中的所有通信流量，并进行标准化解析。

🎯建立假设：利用痛苦金字塔模型和ATT&CK框架，确定各项指标，从Hash、IP、Domain到网络行为、攻击工具等，结合公开Blogs和攻击阶段分析，建立全面准确的假设，从而发现潜在威胁。

⚙️工具分析：企业可利用商业安全设备或自建ELK、Splunk等日志分析平台，以及Suricata或Snort等流量分析工具，将威胁假设转化为检测规则，并结合开源检测规则集进行威胁狩猎，通过规则检出威胁后需要进一步验证。

🔗丰富威胁上下文：发现攻击痕迹后，通过对目标进行取证，依托ATTCK框架，将规则检测发现的点还原成完整的攻击路径，通过多问“Why”来确保检测规则的严谨性。

原创 ir社区 2023-05-27 09:09 河南

1、收集数据

2、建立假设

3、工具分析

4、丰富威胁上下文

5、分析自动化

概述

威胁狩猎是在大数据中反复检索那些逃避传统安全设备的攻击手法，旨在发现未知威胁。大致流程如下：

收集数据 - 建立假设 - 工具分析 -  丰富威胁上下文  - 分析自动化

威胁狩猎是一个主动的行为。之前团队内打算做一个日志分析平台，初步选型以splunk为框架，使用一段时间后发现一个问题，splunk处理windows日志会存在日志解析失败情况。这就产生一个问题，编写的splunk检测规则无法生效。而站在乙方角度，分析安全事件要看细节，容不得日志解析失败，否则会影响分析效率。反之甲方角度来看处理有限范围内的告警即可。

收集数据

1、Windows日志

数据类型	描述	路径	采集/分析工具
操作系统日志	Windows 操作系统日志是一些记录和存储系统事件和故障信息的文件，用于诊断计算机问题、监测资源使用情况、保护系统安全等	C:\Windows\System32\winevt\Logs	事件管理器
主机行为日志	Windows行为日志是一种记录计算机系统活动的日志文件，包括系统启动和关闭、驱动程序加载、应用程序安装和卸载、用户登录和注销、文件和文件夹新增、删除等。行为日志可以帮助系统管理员诊断问题，查找安全漏洞，并进行系统性能和配置优化。	/	sysmon 商业EDR
关键位置的文件	windows上记录用户行为或者操作系统行为的其他文件	C:\Users\{username}\AppData C:\Users\<用户名>\AppData\Roaming \Microsoft\Windows\PowerShell\PSReadLine C:\Windows\Prefetch C:\Windows\AppCompat\Programs\Amcache.hve C:\Windows\System32\Tasks 注册表： ShimCache AppCompatCache Userassist MuiCache	AppCompatCacheParser ShimCacheParser AmcacheParser JumpListExplorer

2、Linux日志

数据类型	描述	路径	采集工具
系统日志	系统日志是由系统服务和应用程序生成的记录。它包括系统启动过程中的信息、服务和应用程序启动和关闭的信息，还有一些错误和警告信息。	/var/log/messages /var/log/syslog /var/log/auth.log /var/log/kern.log /var/log/dmesg /var/log/boot.log /var/log/secure /var/log/cron
应用程序日志	应用程序日志是在应用程序中使用的记录和报告机制。它包括应用程序问题的错误消息、应用程序性能的统计信息、跟踪和调试日志，以及其他应用程序相关的信息。	/var/log/apache
审计日志	审计日志是操作系统记录和监视系统活动的功能。审计日志包括系统事件、用户活动、系统配置、网络连接和网络流量等信息。管理员可以使用Linux审计日志来识别和跟踪安全事件和系统问题，以及了解系统运行的风险和问题。	/var/log/audit	audit
关键位置的文件	linux上记录用户行为或者操作系统行为的其他文件	/tmp/ /home/{username}/.ssh/* /home/{username}/.bash_history /home/{username}/ /etc/ld.so.preload /etc/crontab /var/spool/cron/* /etc/init.*

3、流量

采集流量需要最大限度地覆盖当前网络中的所有通信流量，并将其标准化解析后存储系统中。这里要注意两点，一是部署探针设备要能采集到同网段及跨网段主机间的流量，二是针对ssl协议要进行字段解析。

建立假设

在威胁狩猎过程中，建立假设这一步骤是至关重要的。为此，我们可以依托痛苦金字塔模型和ATT&CK框架来帮助我们确定各项指标。痛苦金字塔模型提供了多项指标，包括Hash、IP、Domain、网络行为、攻击工具等，这些指标可以通过最新的公开Blogs获取。

通过公开的渠道一般不易获取攻击者的完整行为。这时可以结合ATT&CK框架，针对不同的攻击阶段和攻击技术进行分类和分析，从而建立更加全面和准确的假设。通过这些措施可以更好地发现潜在的威胁。

工具分析

企业如果购买了商业版的安全设备，可以基于设备本身的日志调查语法进行威胁狩猎。如果自建的话，日志分析多采用ELK、Splunk，流量分析一般用Suricata或者Snort。如下是一些开源的检测规则集

https://github.com/Bert-JanP/Hunting-Queries-Detection-Ruleshttps://github.com/SigmaHQ/sigmahttps://github.com/mbabinski/Sigma-Ruleshttps://github.com/joesecurity/sigma-ruleshttps://github.com/12306Br0/Security-operation-book

然后根据搭建平台的搜索语法将威胁假设转换为检测规则。通过规则检出威胁后需要进一步验证威胁。

丰富威胁上下文

发现攻击痕迹后，下一步就是复现完整的攻击路径。这个环节主要是对目标进行取证。可以依托ATTCK框架来做，规则检测发现的只是一个点，而作为分析师需要将一个点还原成一条线。比如：在对日志进行威胁狩猎的时候，通过规则检测发现的是一条日志，那么这条日志是什么样的操作触发的呢。以及操作系统为什么会触发这样的操作。在这个环节多问几个"Why"，能让检测规则更严谨。

分析自动化

威胁狩猎首要是数据，其次是流程，最后是自动化，自动化的程度决定了狩猎思路的应用范围。在设置自动化的时候不仅要考虑检测规则本身，还要加一个规则可信度。通过规则的可信度提升规则优化空间，保证检出的准确率。但自动化这一块并不好做，多数攻击行为会产生多条日志，需要多条日志关联分析。

案例

ASMX是一种基于.NET平台的Web服务，使用.ASMX文件扩展名，网站使用XML来传递数据，并使用SOAP协议来进行通信。它提供了一种简单的方法来创建Web服务，并可用于提供网站的服务存储和操作数据。

某次hunt过程中发现流量中存在.asmx后缀的url。

遂访问该URL发现该页面泄露了网站API。

切到该目录的上级目录，又发现网站存在目录遍历漏洞。

如上案例，我们可以总结出两个狩猎规则

(1) url中包含".asmx"
(2) url中包含".asmx"，访问url的上级目录判断是不是存在目录遍历漏洞