| name | detecting-insider-threat-behaviors |
| description | 检测内部威胁行为指标,包括异常数据访问、非工作时间活动、大量文件下载、权限滥用和离职相关的数据盗取。 |
| domain | cybersecurity |
| subdomain | threat-hunting |
| tags | ["threat-hunting","mitre-attack","insider-threat","data-theft","ueba","proactive-detection"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
检测内部威胁行为
适用场景
- 主动狩猎环境中内部威胁行为指标时
- 威胁情报表明使用这些技术的攻击活动正在活跃时
- 事件响应期间确定与这些技术相关的攻击范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队(Purple Team)演练期间
前置条件
- 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了完整配置的 Sysmon
- 已启用 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds
工作流程
- 制定假设:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。
- 识别数据源:确定验证或反驳假设所需的日志和遥测数据。
- 执行查询:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。
- 分析结果:检查查询结果中的异常,并跨多个数据源进行关联。
- 验证发现:通过上下文分析区分真阳性和假阳性。
- 关联活动:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
- 记录与报告:记录发现结果、更新检测规则并推荐响应措施。
核心概念
| 概念 | 描述 |
|---|
| T1078 | 有效账户(Valid Accounts) |
| T1530 | 云存储对象中的数据(Data from Cloud Storage Object) |
| T1567 | 通过 Web 服务外泄(Exfiltration Over Web Service) |
工具与系统
| 工具 | 用途 |
|---|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 |
| Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端工件收集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |
常见场景
- 场景 1:员工在离职前批量下载文件
- 场景 2:IT 管理员访问工作职能范围外的人力资源数据
- 场景 3:服务账户用于未授权的数据查询
- 场景 4:承包商将源代码复制到个人云存储
输出格式
Hunt ID: TH-DETECT-[DATE]-[SEQ]
Technique: T1078
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]