来自 资讯 2021-04-30 01:13 的文章

网站防御_游戏盾隐藏IP_快速接入

网站防御_游戏盾隐藏IP_快速接入

Digital Guardian网络安全副总裁Tim Bandos描述了如何最好地利用MITRE的攻击框架来应对威胁打猎。完毕在过去的一年左右,MITRE的攻击框架在事件响应者和威胁搜寻者中获得了一些重要的应用。如果你一直生活在一块石头下,游戏ddos防御盾,米特的对抗战术、技术和常识是一个"精心策划的网络对手行为知识库和模型"。该框架由11个战术组成,从最初的访问、执行到指挥控制和数据过滤。此攻击生命周期的每个阶段都包含大量的技术,这些技术在野外被各种威胁参与者团体用于危害组织的网络下面的视频片段来自我们的网络研讨会,了解、部署和使用MITRE的ATT&CK框架进行搜索,由Tim Bandos演示,数字卫报的网络安全副总裁。您可以在这里观看完整的网络研讨会。ATT&CK框架是什么时候创建的?斜接_攻击.png此框架对于使用部署在端点和外围的工具来衡量环境针对目标攻击的可见性级别非常有用。尽管如此,我个人认为你不需要在写这篇文章的时候勾掉所有的282个复选框,这样你就不会受到坏人的攻击了。我对这个框架的方法一直是更多地关注高保真指标,同时标注保真度较低的指标,以达到寻找威胁的目的。那这是什么意思?让我们从执行阶段开始。一旦一个对手轻而易举地在会计方面欺骗了鲍勃——顺便说一句,鲍勃点击所有到达他的收件箱的信息——就会有一系列的活动在后台不知不觉中在鲍勃的机器上执行。其中一项可能是ATT&CK技术PowerShell的执行,PowerShell是一种内置的Windows工具,通常被恶意软件用来安装自己。不过,PowerShell也经常被IT管理员使用,所以我们不能对所有东西进行警告和阻止。然而,拥有命令行可见性将为我们提供将其缩减为一组通常是恶意的字符串的方法。运行DownloadFile、DownloadString、Base64ToString、Invoke shell code、EncodedCommand等函数都是些顽皮的命令,它们会让我们的IR Spidey感觉到有入侵者来敲门了。因此,创建一个简单的签名,看起来像下面的东西,ddos攻击原理和防御书,将产生一个高保真的威胁警报,让您的1级船员立即调查。过程= Powershell.exe&命令行包含"DownloadFile,DownloadString,Base64ToString,Invoke shell code,EncodedCommand"在调查这些类型的指示器时,通常人们会收到一系列类似于网络灾难的警告。但不要绝望,知识就是力量!threathhunting_1_2.png如果我是一个威胁猎人,我会考虑这个Noob 100级,并希望专注于低保真度的数据点,这些数据点需要我对我监控的环境进行旋转和基线化,以寻找未知。归根结底,这是猎人的主要目的。照亮网络中黑暗和隐蔽的区域,这些区域通常被认为没有感染。因此,让我们在执行阶段使用一个较低的保真度指标,多ip防御ddos,例如调度任务。诸如schtasks之类的Windows实用程序可用于安排程序或脚本在指定的日期/时间(如在启动时)运行,或出于持久性目的连续运行。当然,这是合法的用例,但是如果我们在每个事件中标记一个计划任务的元素,它将允许我们快速地去除好的部分,因此我们只剩下坏的。我们可以使用一个签名来查找通过命令行添加的任务,这很简单例如:进程=命令行.exe&命令行包含schtasks下一步将在命令行上聚合以执行频率分析。通常,顶部的项是合法的(但不总是),因为它们在企业中频繁出现,并且在多个端点.威胁搜索.png在底部的,不多。在下图中,我们可以看到对手很有幽默感,在以系统帐户登录时,将其计划的任务称为"yolo",并从Windows\Temp目录中执行一个单字符二进制文件"1.exe"。现在威胁猎人已经发现了这种渎职行为,它将真正"只活一次",永远不会再发生!threathhunting_1_4.png这种将警报与事件配对的方法将丰富日志中所需的上下文,以便更有效地进行搜索。此外,将条目添加到白名单中,这些规则将允许它们变得更高忠诚。对测试您自己的环境,我强烈建议您在Github上查看redcanary的Atomic Red Team框架。这个测试库将引导您完成MITRE的ATT&CK框架的每个阶段,允许您真正衡量您的可见性和对不可避免的情况的准备。完成此练习后,您的目标将是构造尽可能多的检测特征码,将它们映射到所使用的特定技术上,同时提供一个严重性级别来划分触发时的响应时间。另外,我的一个好朋友,Roberto aka@cyb3rward0g,通过Sysmon和ELK编写了一个很好的教程;看看吧这里。下面是Digital Guardian随EDR产品提供的这些规则的一个子集,涵盖了框架内的每种技术。#售货员。是的,这花了相当多的努力,但非常值得,而且比自己做这些容易得多!threathunting_1_5.png threathunting_1_6.png threathunting_1_7.png在我们使用MITRE的ATT&CK框架进行威胁搜索的下一章中-第2部分-我将重点介绍一些更高级的用例,并详细介绍一些我在野外时最喜欢使用的技术。直到下次,防御ddos报价,ddos攻击(流量攻击)防御步骤,狩猎快乐!想跳到我们指南的最后一部分吗?在这里找到第三部分!标签:威胁狩猎