如何开展威胁狩猎 How to start Threat Hunting

3. 目录

4. 1. Threat Hunting 介绍

5. Ask 10 security professionals
for the definition of threat
hunting and you’ll get 11
answers
什么是威胁狩猎（定义）

6. 什么是威胁狩猎（定义）
• Threat hunting uses new information on previously collected data
to find signs of compromise evading detection. – SANS 2019
Building and Maturing Your Threat Hunting - David Szili (CTO @
Alzette Information Security)
• Threat hunting是一个active/proactive活动，对象是所在组织的任何相关环境
(everything)，内容是发现任何失陷的信号(signs of being compromised)，输
出是否失陷的评估。- Chris Brenton – COO @ Active Countermeasures
• Threat hunting不针对已经能检出的威胁，是专项的、周期性开展的建立在“假设”的
基础上的安全活动。- John Dwyer & Neil Wyler @ IBM X-Force – BlackHat
US 2022
• Threat hunting is the practice of proactively searching for cyber
threats that are lurking undetected in a network. - CrowdStrike
• Threat hunting is the practice of searching for cyber threats that
might otherwise remain undetected in your network. - CheckPoint

7. 什么是威胁狩猎（定义）
• 是一种安全活动
• 基于防守已经失陷的假设
• 针对任何相关环境(Everything)
• 致力于发现未被现有防御体系发现的失陷
• 由安全运营相关人员主动开展
• 活动是周期性的
• 有明确的结论（已失陷、未失陷）
• 有确定的产出—Playbook（需要的数据源、分析规则/代码、转化检测规则）
• 目标是解决安全防御体系中的痛苦金字塔（Pyramid of Pain）

8. 威胁狩猎在安全运营中的位置
https://www.nist.gov/
cyberframework

9. 威胁狩猎在安全运营中的位置
[NIST.SP.800-61r2]
(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)

10. 威胁狩猎在安全运营中的位置
[Security Operations Primer for 2022]
(https://www.gartner.com/en/doc/759058-security-
operations-primer-for-2022)
三个因素
四个领域
四个目标的闭环

11. 威胁狩猎在安全运营中的位置
Google 10x运营体系：
- 事件收集(Event Logging)
和分析(Analyst)分成了不同
的阶段
- Threat Hunting一般作为更
高阶的运营活动，需要在一
定的建设基础之上开展
- 日志收集的完备性对
Threat Hunting的开展有一
定的影响
- Threat Hunting推进安全运
营、日志收集的完善和提高。
[ Google Cloud Summit 2022 ]
https://services.google.com/fh/files/misc/googlecloud_autonomicsecurityoperations_soc10x.pdf

12. 威胁狩猎在安全运营中的位置
• 安全运营中的一项必须的安全活动
• 在安全检测（Detection）阶段开展，一般作为安全检测能力补充，但是活动会贯穿整个
安全运营生命周期
• 可以以Threat Intelligence作为输入，结果输出给Incident Response从而触发响
应流程
• 作为闭环的运营活动中的一环，对暴露面管理（ASM）、事件收集（EC）、检测引擎
（DE）、检测规则（DR）以及威胁情报（TI）改善有促进作用
• 作为闭环的运营活动中的一环，能够有效的提高团队的建设、人员的技能水平以及整个运
营活动的成熟度
• 效果依赖于现有事件日志、SIEM、TI等运营平台的完成度以及检测规则的优化
• 但是，并不是说，只有成熟的安全运营建设完成才能开展Threat Hunting
• 处于安全运营的高阶阶段，解决痛苦金字塔（Pyramid of Pain）上层问题

13. 威胁狩猎为什么重要而且必须
一般发现失陷是事件的6个月后
多数的失陷事件是第三方安全厂
商发现的
现有的日志分析或SIEM平台只
能检出2.5%的事件
[What Is Threat Hunting and Why Is It so Important? – Video Blog]
https://www.activecountermeasures.com/what-is-threat-hunting-and-why-is-it-so-important-video-blog/

14. 威胁狩猎为什么重要而且必须
核心问题：被动检测无法发现所有的威胁
在这里，被动的检测是指部署在各个区域的传感器、集中的SIEM系统以及事件响应IR活
动，这也是目前最常见的检测->研判->响应流程
原因：
1.信息安全是一门对抗的学科，它不是考试做所有题都有答案答对就能拿到满
分，它也没有一成不变的铁律让安全从业人员按图索骥的开展建设。我们看到这
些年CS在不断更新隐蔽特征，新的0Day总是在不合时宜的时间出现，APT组织
的不断演化，都意味着防御手段和方法也要不断进化。
2. 安全防御仍然是木桶效应，企业的防御水平取决于做的最差的那项，攻击者
天然的占据优势。如是否所有的资产都能梳理清楚并有足够的人员和预算来覆盖
安全防护，边界的防御和纵深的防御同样重要，核心资产和边缘资产不一致的防
护级别可能导致同样严重的结果。这些都注定了信息安全防御很容易达到一个及
格线，但是想获得优秀甚至向九十分迈进，都需要花费巨量的资源。

15. 威胁狩猎为什么重要而且必须
• 将未知威胁转换为已知威胁，实现有效的威胁管控
• 更深入检验现有的数据采集、检测规则、情报成熟度等
• 更深入检验现有防御手段的覆盖面以及缺失面
• 更深入理解现有的安全防御环境，包括网络、机器、业务和人等
• 连接整体安全运营闭环，提高安全运营成熟度
• 提高团队人员技战术水平
• 做更有趣的事情
• 满足合规、治理需求
• 实现对威胁从What到Why的转换
• 验证Threat Intelligence针对当前组织的有效性，并识别针对当前组织的攻击团队以及手法
• 可以用作针对特定安全领域的专项研究，了解组织在该领域中的状况
• 增加管理者对当前网络环境的信任程度

16. 2. Movitation & Preparation

17. Where to Start？
GOST Framework Element Definitions
GOALS OBJECTIVES STRATEGIES TACTICS
Strategy Kiln GOST Framework
寻找失陷和未知威胁
理解当前安全态势
组织
团队
个人
提高技战术水平
提高安全运营闭环成熟
度
Everyone on the
Same Page
外部威胁检测覆盖面增加n%
外部攻击组织手法TTP增加n%
失陷检出数（含模拟）x
实现n个TH Playbook
发现n个失陷和事件
转换n个检测规则
增加n个防护面和日志源
……
分析n个APT组织和手法
开发、使用n个分析、攻击工具
……
TH作为SOC中的主导运营活动
清晰TH和TI、IR、DE关系
制定TH开展的周期（周/月/季）
组建TH团队
建立可重复、标准化、可测试、
可度量的TH活动
Miter ATT&CK Matrix
ETDA(https://apt.etda.or.th/cgi
-bin/aptsearch.cgi
Filled By Yourself
Filled By Yourself
Filled By Yourself

18. 组织团队
• Team Lead
• Host-based Analyst
• Network-based Analyst
• Treat Intelligence Analyst
• ……
• 可以同时兼任TI、IR成员，也可以
独立职能
• 扁平化，每个人为自己负责
• 欢迎独行侠
• 流程重于组织架构
• 规范重于内容和结果
[The foundation of Threat Hunting]
https://www.amazon.com/Foundations-Threat-Hunting-
Organize-effective/dp/180324299X
[NICCS Cybersecurity Work Roles]
https://niccs.cisa.gov/about-niccs/workforce-framework-
cybersecurity-nice-framework-work-roles
☓

19. 准备工作
• Data Souce
• 边界、纵深的防御设施
• Data Dictionary
• Know Your Data
• Data Reliability
• 完备性、时效性、准确性、可验证性、持续性
• Technology Stack
• OTHF Skills Matrix
• Tools（一下仅为示例，更多看个人喜好）
• 搭建实验室
• https://github.com/clong/DetectionLab
• 分析工具
• https://github.com/microsoft/msticpy
• https://github.com/ThreatHuntingProject/hunter
• https://github.com/reprise99Sentinel-Queries
• 自造数据
• https://securitydatasets.com/
SIEM

20. 威胁狩猎类型
Developing an Intelligence-Driven Threat Hunting Methodology
Joe Slowik, Gigamon Applied Threat Research
https://apt.etda.or.th/cgi-bin/listgroups.cgi
https://attack.mitre.org/groups/
- 流量、进程、命令等基线
行为
从行为、基线出发

21. 3. 流程 Process

22. 流程
OTHF Process
Kostas Medium Blog

24. 1. 开发假设
[Steps of the Scientific Method]
https://www.sciencebuddies.org/science-fair-
projects/science-fair/steps-of-the-scientific-method
科学方法是通过实验检验假设以回答问题的过程。
在医学、生物学、化学和物理学等领域的科学进步
中，它的使用可以追溯到数百年前。
"If _____[I do this] _____, then _____[this]_____
will happen."

25. 1. 开发假设
• Example：
- Intelligence驱动的Hunting：组织是否面临APT-X组织攻击？
- TTP驱动的Hunting：环境中，是否存在通过Microsoft Word启动恶意进程？
- Mitre ATT&CK ID: T1204.002 (Execution)
- Anomaly驱动的Hunting：环境中，是否存在从系统目录启动的未知二进制可执行文件？
• 更多案例
• https://github.com/ThreatHuntingProject/ThreatHunting
• https://threathunterplaybook.com/intro.html

26. 2. 建立证据
了解攻击手法 采集数据源
- 了解攻击背景
- 了解常用方式和手段TTPs
- 采集完善攻击指标(IOA)
- 针对未披露攻击建设实验
室环境
- 确定Hunting需要的数据源
- 确认数据源是否完备，是否存在
缺失
- 确定所需的字段
- TDQM(Total Data Quality
Management)

27. 3. 执行分析
[ Threat Hunting Tactics & Techniques by CyborgSecurity]
https://www.cyborgsecurity.com/blog/threat-hunting-tactics-
techniques/
• 制定策略
• Volumetric Analysis
• Frequency Analysis
• Clustering Analysis
• Grouping Analysis
• Ectd.
• 验证假设
• 输出规则
• [Sentinel](https://github.com/DanielChronlund/DCSecurityOperati
ons)
• [Bert-Jan](https://github.com/Bert-JanP/Hunting-Queries-
Detection-Rules)
• https://threathunterplaybook.com/

28. 4. 归档
• 假设内容
• 背景
• 数据集
• 情报
• 数据源（缺失数据）
• 必须字段
• 分析Playbook
• 分析1… Query 1
• 分析2… Query 2
• ……
• 结论
• 转换检测规则
• False Positives
• Reference

30. 关注我们
安世加 专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、
人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的
平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发
展。