也許每個人出生的時候都以為這世界都是為他一個人而存在的，當(dāng)他發(fā)現(xiàn)自己錯的時候，他便開始長大

少走了彎路，也就錯過了風(fēng)景，無論如何，感謝經(jīng)歷

轉(zhuǎn)移發(fā)布平臺通知：將不再在CSDN博客發(fā)布新文章，敬請移步知識星球

感謝大家一直以來對我CSDN博客的關(guān)注和支持，但是我決定不再在這里發(fā)布新文章了。為了給大家提供更好的服務(wù)和更深入的交流，我開設(shè)了一個知識星球，內(nèi)部將會提供更深入、更實用的技術(shù)文章，這些文章將更有價值，并且能夠幫助你更好地解決實際問題。期待你加入我的知識星球，讓我們一起成長和進(jìn)步

汽車威脅狩獵專欄長期更新，本篇最新內(nèi)容請前往：

• [車聯(lián)網(wǎng)安全自學(xué)篇] 汽車威脅狩獵之關(guān)于威脅狩獵該如何入門？你必須知道的那些事「7萬字詳解」

本文內(nèi)容請忽略… …

0x01 威脅狩獵技巧 1：了解你的環(huán)境中什么是正常情況，那么你將能夠更容易地發(fā)現(xiàn)異常情況

太多的企業(yè)試圖在不了解他們的環(huán)境的情況下，跳入威脅狩獵的深淵（這是一個追逐松鼠和兔子，而且收效甚微的方法）。 威脅狩獵最終是在一個環(huán)境中尋找未知因素的做法，因此，了解什么是 “正常業(yè)務(wù)” 與 “可疑”、甚至 “惡意” 相比是至關(guān)重要的

為了理解環(huán)境，請確保你能獲得盡可能多的信息，包括網(wǎng)絡(luò)圖、以前的事件報告，以及能得到的任何其他文件，并確保你擁有網(wǎng)絡(luò)和終端層面的日志，以支持你的狩獵

0x02 威脅狩獵技巧 2：當(dāng)建立狩獵活動時，根據(jù)你的假設(shè)，從一般的情況開始，再到具體的情況。通過這樣做，可以創(chuàng)建上下文，并了解你在環(huán)境中尋找的是什么

當(dāng)建立狩獵活動時，根據(jù)你的假設(shè)，從一般的情況開始，再到具體的情況。通過這樣做，可以創(chuàng)建上下文，并了解你在環(huán)境中尋找的是什么

當(dāng)威脅獵手第一次在結(jié)構(gòu)化的威脅狩獵中嶄露頭角時，他們中的許多人都在努力建立他們的第一個假設(shè)。許多人發(fā)現(xiàn)這個過程，具有挑戰(zhàn)性的原因往往是他們試圖有點過于具體了。與其直接跳到細(xì)節(jié)上，不如先嘗試在你的假設(shè)中更多地體現(xiàn)出一般的情況。通過這樣做，你將更好地塑造你的狩獵，并在此過程中增加額外的上下文信息

0x03 威脅狩獵技巧 3：有時，最好狩獵你了解和知道的事物然后進(jìn)行可視化，而不是狩獵你專業(yè)知識之外的事物，并嘗試進(jìn)行可視化到你知道的事物上

有時，在你了解和知道的事情上狩獵，然后再進(jìn)行可視化，與在你的專業(yè)知識之外的事情上狩獵，并試圖可視化到你知道的事情上，效果更好。

新的獵手遇到的最常見的挑戰(zhàn)之一是，很容易很快擺脫困境。并不是每個信息安全專業(yè)人員，都是所有領(lǐng)域的專家，在威脅狩獵方面也是如此

無論你，是剛開始，還是已經(jīng)狩獵了一些時間，同樣的建議是正確的：狩獵你理解的東西，然后通過可視化來挖掘這些數(shù)據(jù)。這可以確保你理解你正在查看的東西，并讓你對數(shù)據(jù)進(jìn)行理解，以及理解你是如何到達(dá)那里的

如果，試圖在你不了解的數(shù)據(jù)上狩獵，你更有可能傾向于你了解的數(shù)據(jù)，并對其進(jìn)行可視化，這可能或不可能真正導(dǎo)致有意義和有價值的狩獵

0x04 威脅狩獵技巧 4：并非所有假設(shè)都會成功，有時可能會失敗。但是不要氣餒，回去再測試一下

與威脅保護(hù)和威脅檢測等事情不同，威脅狩獵遠(yuǎn)不是一件肯定的事情。事實上，威脅狩獵的本質(zhì)意味著你正在尋找未知的事物。正因為如此，所以并不是你狩獵的每一個假設(shè)都會成功。事實上，大多數(shù)獵手都知道，雖然他們可能會花幾個小時，去挖掘他們發(fā)現(xiàn)的兔子洞，但這個洞更有可能導(dǎo)致一個使用 PowerShell 的高級用戶來節(jié)省一些時間，而不是一個想要加密你的域控制器的高級攻擊者

不要讓這些時刻，讓你灰心喪氣！記錄你的發(fā)現(xiàn)，不要讓它成為你的負(fù)擔(dān)。記錄你的發(fā)現(xiàn)，不要氣餒，并繼續(xù)狩獵。從長遠(yuǎn)來看，它將會得到回報

0x05 威脅狩獵技巧 5：了解你的工具集及其數(shù)據(jù)功能，與執(zhí)行你的狩獵同樣重要。如果你沒有驗證工具中是否存在預(yù)期的數(shù)據(jù)，則誤報就會潛伏在每個角落

雖然，在 IT 領(lǐng)域幾乎每個人都明白，每個工具和技術(shù)都是不同的，并且都有特定的局限性。但有時安全人員（尤其是威脅獵手），可能會認(rèn)為這是理所當(dāng)然的

關(guān)于 “了解你的技術(shù)”，最重要的概念之一是了解它的能力，以及它的局限性是什么。如果你在不了解的情況下貿(mào)然前進(jìn)，很可能會產(chǎn)生誤報的結(jié)果，給安全團(tuán)隊一種錯誤的安全感

在建立你的狩獵系統(tǒng)之前，必須測試和驗證你的搜索查詢，以確保它們返回你所期望的結(jié)果，這是至關(guān)重要的

參考鏈接：

https://blog.csdn.net/Ananas_Orangey/article/details/129491146

你以為你有很多路可以選擇，其實你只有一條路可以走文章來源地址http://www.zghlxwxcb.cn/news/detail-700833.html

到了這里，關(guān)于ToBeWritten之基于ATT&CK的模擬攻擊：閉環(huán)的防御與安全運(yùn)營的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！