什么是威胁狩猎
网络威胁狩猎是指一种主动寻找和识别网络中潜在威胁的活动。它是一种针对已知和未知威胁的持续监测和调查过程,旨在发现那些可能已经逃避传统安全防御措施的威胁行为。
SANS研究所将威胁狩猎定义为:
从本质上讲,威胁狩猎是一种主动识别攻击迹象的方法,与之相反,安全运营中心(SOC)的分析师则采取了更加被动的方法。具有完善狩猎团队的组织更有可能在攻击早期就抓住攻击者。威胁狩猎人员利用工具和丰富的经验来主动“过滤”网络和终端数据,持续寻找可疑的异常值或正在进行的攻击的痕迹。他们利用威胁情报来更好地了解攻击者的战术、技术和过程(TTP)。最重要的是,威胁狩猎人员会就可能发生的攻击如何建立假设,并搜索数据以证明该假设
网络威胁狩猎通常涉及以下活动:
1、数据分析
对网络和系统的日志、事件和流量数据进行深入分析,寻找异常模式、异常行为或其他异常迹象。
2、威胁情报利用
利用外部威胁情报(如公开的漏洞信息、恶意IP地址、恶意软件样本等)来指导狩猎活动,并与内部数据进行对比。
3、指标定义
定义潜在的威胁指标(Threat Indicators),例如特定的网络活动、行为模式或
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
