网络杀伤链的七个阶段_网络攻防杀伤链

网络杀伤链的七个阶段_网络攻防杀伤链

2、威胁狩猎方法

在我们讨论威胁狩猎的定义之前,让我们通过说明什么不是威胁狩猎来澄清一些关于这个概念的误解。首先,威胁搜索不同于网络威胁情报(CTI)或事件响应(IR),尽管它可以与网络威胁情报(CTI)或事件响应(IR)密切相关。CTI可能是一个很好的搜索起点。IR可能是组织在成功狩猎后的下一步。威胁搜索也不是安装探测工具,尽管这对提高它们的探测能力很有用。此外,它不是在组织的环境中寻找ioc;相反,你将寻找绕过已经被IoCs馈入的检测系统的东西。威胁搜索也不等同于监视,也不等同于在监视工具上随机运行查询。但是,最重要的是,威胁狩猎不是一项只能由一组精选的专家完成的任务。当然,专业知识很重要,但这并不意味着只有专家才能做到。一些威胁捕猎技术需要更长的时间才能掌握;有些是与事件响应和分诊共享的。这种做法本身已经存在多年,远早于它被称为“威胁狩猎”。进行狩猎的主要必要条件是知道问什么以及从哪里找到答案。

172 0 2023-03-22 网络攻防