主要观点总结
本文主要介绍了专业网络安全厂商如何利用TTP情报狩猎APT的内容,包括TTP和IoC的定义、威胁行为体的行为模式、事件响应过程、威胁狩猎技术等方面。
关键观点总结
关键观点1: 什么是TTP和IoC
TTP(战术、技术和程序或过程)描述攻击者的行为模式;IoC(入侵指标)是观察到的可能指示潜在入侵事件的证据。
关键观点2: 事件响应和威胁情报的重要性
在发现恶意活动证据后,利用威胁情报进行事件响应,使用TTP的IoC扫描环境,识别具有特定证据碎片的系统。
关键观点3: 威胁狩猎技术
通过收集和分析特定类型的数据(如服务、进程等),识别异常值,发现潜在的恶意活动。
关键观点4: 编码和构建IoC的重要性
编码IoC以创建一个可重复、可扩展和可度量的过程,利用IoC检测威胁行为体的活动。
关键观点5: 组织在威胁狩猎中的挑战和应对策略
组织需要了解环境,确定可见性差距,提高日志能力,培训人员,并利用威胁情报进行设计狩猎流程和能力。
文章预览
今天跟大家分享一下专业网络安全厂商如何利用TTP情报狩猎APT。建议大家仔细阅读,否则无法理解其中的精髓! 术语定义: 1.TTP(战术、技术和程序或过程,Tactics, Techniques, and Procedures),是指攻击者的战术、技术和程序,描述了攻击者"如何"实现其目标。说白了就是攻击者的行为习惯。 2.IoC(入侵指标或失陷指标,Indicators of Compromise),是指在系统或网络中观察到的,可能指示潜在入侵事件的可操作的证据。 3.威胁情报(Threat Intelligence)是关于威胁行为体的基于证据的知识。比如,威胁行为体的行为模式。 作为一家网络安全厂商,我们通常在事件发生后或在网络中发现恶意活动的一些证据后被呼叫。因此,我们得到了一些线索。我们得到了一些我称之为事件响应IoC的东西。 我们得到了一个恶意软件名称、一个恶意软件哈希值。我们可能得到
………………………………
