威胁狩猎模型

原文：SANS的文章：

https://www.sans.org/reading-room/whitepapers/threathunting/paper/38710

作者介绍：

Dan Gunter，曾在美国空军担任进攻性网络规划师，负责Dragos公司的威胁情报建设，现为Insane Forensics的创始人兼CEO

威胁狩猎定义：

威胁狩猎是一个主动、分析驱动的过程，目的是在环境中搜索绕过已有检测手段的攻击者TTP。
其中攻击者TTP必须是经过分析，能被理解，可以让分析师指导如何搜集数据。

威胁狩猎模型

• 目标：为什么威胁狩猎
• 范围：在哪里进行威胁狩猎？希望去回答什么问题（假设）？
• 配备/装备：需要使用哪些数据集？
• 计划审计：计划能否满足所有目的？
• 执行：进行狩猎
• 反馈：进行是否顺利？能否做的更好？

示例

以2016年乌克兰电厂事件为例
目标：所有500kV输电变电站和前十大配电变电站进行威胁搜寻
范围-确定被测系统：控制系统资产和人机界面，IEC 60870-5-104是其中的重要协议
范围-建立假设：攻击者使用针对IEC 60870-5-104协议的工具，对变电站进行了攻击
配备：IEC 60870-5-104数据源。使用商用工具或者wireshark分析流量。使用snort在流量中检测，也可检查windows事件日志
计划审计：评估上述流程是否满足狩猎的目的
执行：检查windows日志和流量中是否存在已知TTP
反馈：分析狩猎过程中的不足