网络威胁搜寻的工作原理
自动威胁搜寻
网络威胁搜寻者可以使用机器学习、自动化和 AI 来自动执行该过程的某些方面。利用 SIEM 和 EDR 等解决方案,可通过监视、检测和响应潜在威胁来帮助威胁搜寻者简化搜寻过程。威胁搜寻者可以创建和自动执行不同的 playbook 来响应不同的威胁,从而在出现类似攻击时减轻 IT 团队的负担。
安全
网络威胁搜寻通常采用以下三种形式之一:
结构化:在结构化狩猎中,威胁猎手会寻找可疑的战术、技术和程序 (TTP),以表明潜在威胁。威胁搜寻者不是接近数据或系统并寻找入侵者,而是就潜在攻击者的方法提出一个假设,并有条不紊地识别这种攻击的症状。结构化搜寻是一种更为主动的方法,因此采用这种战术的 IT 专业人员通常可以快速拦截或阻止攻击者。
非结构化:在非结构化狩猎中,网络威胁猎手会搜索 入侵指标 (IoC),并以此作为起点开展搜索。由于威胁搜寻者可以回来搜索历史数据来查找模式和线索,因此非结构化搜寻有时可以识别之前未检测到且可能仍然使组织面临风险的威胁。
情境式:情境式威胁狩猎会优先关注数字生态系统中的特定资源或数据。如果组织评估认为特定员工或资产的风险最高,它可以指示网络威胁搜寻者集中精力来防范或补救针对这些易受攻击人员、数据集或终结点的攻击。
关注 Microsoft 安全