| name | building-threat-hunt-hypothesis-framework |
| description | 构建系统化的威胁狩猎假设框架,将威胁情报、攻击模式和环境数据转化为可测试的狩猎假设。 |
| domain | cybersecurity |
| subdomain | threat-hunting |
| tags | ["threat-hunting","methodology","hypothesis","threat-intelligence","hunting-framework","proactive-detection"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
构建威胁狩猎假设框架
适用场景
- 主动狩猎环境中构建威胁狩猎假设框架的相关指标时
- 威胁情报(Threat Intelligence)表明使用这些技术的攻击活动正在活跃时
- 事件响应(Incident Response)期间确定与这些技术相关的攻击范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队(Purple Team)演练期间
前置条件
- 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了完整配置的 Sysmon
- 已启用 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds
工作流程
- 制定假设:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。
- 识别数据源:确定验证或反驳假设所需的日志和遥测数据。
- 执行查询:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。
- 分析结果:检查查询结果中的异常,并跨多个数据源进行关联。
- 验证发现:通过上下文分析区分真阳性和假阳性。
- 关联活动:将发现结果链接到更广泛的攻击链和威胁行为者(Threat Actor)TTP。
- 记录与报告:记录发现结果、更新检测规则并推荐响应措施。
核心概念
| 概念 | 描述 |
|---|
| TA0001 | 初始访问(Initial Access) |
| TA0003 | 持久化(Persistence) |
| TA0008 | 横向移动(Lateral Movement) |
| TA0010 | 数据外泄(Exfiltration) |
工具与系统
| 工具 | 用途 |
|---|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 |
| Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端工件收集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |
常见场景
- 场景 1:基于 APT 攻击活动报告的情报驱动狩猎
- 场景 2:ATT&CK 覆盖差距分析驱动的假设创建
- 场景 3:基于 UEBA 告警调查的异常驱动假设
- 场景 4:基于行业威胁的态势感知狩猎
输出格式
Hunt ID: TH-BUILDI-[DATE]-[SEQ]
Technique: TA0001
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]