95% ea litšokelo tsa ts'ireletso ea tlhahisoleseling lia tsebahala, 'me u ka itšireletsa ho tsona u sebelisa mekhoa ea setso joalo ka li-antivirus, li-firewall, IDS, WAF. 5% e setseng ea litšokelo ha e tsejoe ebile e kotsi ka ho fetisisa. Li etsa karolo ea 70% ea kotsi bakeng sa k'hamphani ka lebaka la hore ho thata haholo ho li lemoha, haholo-holo ho sireletsa khahlanong le tsona. Mehlala ke seoa sa WannaCry ransomware, NotPetya/ExPetr, cryptominers, "cyber weapon" Stuxnet (e ileng ea otla lisebelisoa tsa nyutlelie tsa Iran) le tse ngata (mang kapa mang ea hopolang Kido / Conficker?) litlhaselo tse ling tse sa sireletsoeng hantle haholo ka mehato ea khale ea tšireletso. Re batla ho bua ka mokhoa oa ho loantša litšokelo tsena tsa 5% ka ho sebelisa theknoloji ea Threat Hunting.
Phetoho e tsoelang pele ea litlhaselo tsa marang-rang e hloka ho hlahlojoa khafetsa le mehato ea ho thibela, e qetellang e re lebisa ho nahana ka lebelo le sa feleng la libetsa pakeng tsa bahlaseli le basireletsi. Sistimi ea khale ea ts'ireletso ha e sa khona ho fana ka boemo bo amohelehang ba ts'ireletso moo boemo ba kotsi bo sa ameng matšoao a mantlha a k'hamphani (moruo, lipolotiki, botumo) ntle le ho li fetola bakeng sa meaho e itseng, empa ka kakaretso li koahela tse ling likotsi. E se e ntse e le ts'ebetsong le ts'ebetsong, mekhoa ea ts'ireletso ea morao-rao e iphumana e le karolo ea ho ts'oara 'me e tlameha ho arabela mathata a nako e ncha.
Theknoloji ea Threat Hunting e ka 'na ea e-ba e' ngoe ea likarabo tsa mathata a mehleng ea rona bakeng sa setsebi sa ts'ireletso ea tlhahisoleseding. Poleloana ea Threat Hunting (eo hamorao e tla bitsoa TH) e hlahile lilemo tse 'maloa tse fetileng. Theknoloji ka boeona e khahla haholo, empa ha e e-so be le litekanyetso le melao e amoheloang ka kakaretso. Taba ena e boetse e rarahane ke ho fapana ha mehloli ea boitsebiso le palo e nyenyane ea mehloli ea lipuo tsa Serussia tabeng ena. Tabeng ena, rona ho LANIT-Integration re ile ra etsa qeto ea ho ngola tlhahlobo ea theknoloji ena.
Tšoaneleho
Theknoloji ea TH e itšetlehile ka mekhoa ea ho hlahloba mekhoa ea motheo.. Tlhokomeliso (e ts'oanang le lits'ebeletso tsa MSSP) ke mokhoa o tloaelehileng oa ho batla mesaeno le matšoao a litlhaselo le ho arabela ho tsona. Boemo bona bo etsoa ka katleho ke lisebelisoa tsa ts'ireletso tse thehiloeng ho tekeno. Hunting (Tshebeletso ea mofuta oa MDR) ke mokhoa oa ho beha leihlo o arabang potso e reng "Mesaeno le melao e tsoa kae?" Ke mokhoa oa ho theha melao ea likamano ka ho hlahloba matšoao a patiloeng kapa a neng a sa tsejoe pele le matšoao a tlhaselo. Threat Hunting e bolela mofuta ona oa ho beha leihlo.
Ke feela ka ho kopanya mefuta e 'meli ea ho beha leihlo moo re fumanang tšireletso e haufi le e loketseng, empa kamehla ho na le boemo bo itseng ba kotsi e setseng.
Tšireletso ka ho sebelisa mefuta e 'meli ea ho beha leihlo
Ke ka hona TH (le ho tsoma ka botlalo!) e tla ba ea bohlokoa le ho feta:
Litšokelo, litlhare, likotsi.
. Tsena li kenyelletsa mefuta e kang spam, DDoS, livaerase, rootkits le malware a mang a khale. U ka itšireletsa litšokelong tsena u sebelisa mehato e tšoanang ea khale ea tšireletso.
Nakong ea ts'ebetsong ea morero ofe kapa ofe, 'me karolo e setseng ea 20% ea mosebetsi e nka 80% ea nako. Ka mokhoa o ts'oanang, ho pholletsa le tikoloho eohle ea litšokelo, 5% ea litšokelo tse ncha e tla ikarabella bakeng sa 70% ea kotsi ho k'hamphani. K'hamphaning moo lits'ebetso tsa taolo ea ts'ireletso ea tlhahisoleseling li hlophisitsoeng, re ka laola 30% ea kotsi ea ho kenya ts'ebetsong litšokelo tse tsejoang ka tsela e 'ngoe kapa e' ngoe ka ho qoba (ho hana marang-rang a se nang mohala ka molao-motheo), ho amohela (ho kenya ts'ebetsong mehato e hlokahalang ea ts'ireletso) kapa ho fetoha. (mohlala, mahetleng a mokopanyi) kotsi ena. Itšireletse ho, litlhaselo tsa APT, phishing,, cyber espionage le ts'ebetso ea naha, hammoho le palo e kholo ea litlhaselo tse ling li se li le thata haholo. Litlamorao tsa 5% ea litšokelo tsena li tla ba mpe le ho feta () ho feta litlamorao tsa spam kapa livaerase, tseo software ea antivirus e bolokang ho tsona.
Hoo e batlang e le motho e mong le e mong o tlameha ho sebetsana le 5% ea litšokelo. Haufinyane tjena re ile ra tlameha ho kenya tharollo ea mohloli o bulehileng o sebelisang kopo ho tsoa polokelong ea PEAR (PHP Extension and Application Repository). Teko ea ho kenya ts'ebeliso ena ka pear install e hlolehile hobane e ne e sa fumanehe (hona joale ho na le stub ho eona), ke ile ka tlameha ho e kenya ho tsoa ho GitHub. Haufinyane tjena ho ile ha fumaneha hore PEAR e bile phofu.
O ntse o ka hopola, seoa sa NePetya ransomware ka mojule oa ntlafatso bakeng sa lenaneo la tlaleho ea lekhetho. Litšokelo li ntse li eketseha le ho feta, 'me ho hlaha potso e utloahalang - "Re ka thibela litšokelo tsee tse 5% joang?"
Tlhaloso ea Ho Tsoma Litšokelo
Kahoo, Threat Hunting ke ts'ebetso ea ho batla ka matla le ho pheta-pheta le ho lemoha litšokelo tse tsoetseng pele tse ke keng tsa bonoa ke lisebelisoa tsa ts'ireletso tsa setso. Litšokelo tse tsoetseng pele li kenyelletsa, mohlala, litlhaselo tse kang APT, litlhaselo tsa bofokoli ba matsatsi a 0, Ho phela ka ntle ho Naha, joalo-joalo.
Re ka boela ra pheta-pheta hore TH ke mokhoa oa ho etsa liteko tsa maikutlo. Ena ke ts'ebetso ea matsoho e nang le likarolo tsa boiketsetso, moo mohlahlobisisi, a itšetlehileng ka tsebo le bokhoni ba hae, a phenyang litaba tse ngata ho batla matšoao a ho sekisetsa a lumellanang le khopolo-taba e ikemiselitseng qalong mabapi le boteng ba tšokelo e itseng. Tšobotsi ea eona e ikhethang ke mehloli e fapaneng ea tlhahisoleseling.
Re lokela ho hlokomela hore Threat Hunting ha se mofuta o itseng oa software kapa sehlahisoa sa hardware. Tsena ha se litemoso tse ka bonoang tharollong e itseng. Sena ha se mokhoa oa ho batla oa IOC (Identifiers of Compromise). 'Me ona ha se mofuta o itseng oa ts'ebetso e etsahalang ntle le ho kenya letsoho ha bahlahlobisisi ba ts'ireletso ea tlhahisoleseling. Ho tsoma kotsi ke ts'ebetso ea pele le ea mantlha.
Likaroloana tsa ho Tsoma Kotsi
Likarolo tse tharo tse kholo tsa Ts'ebetso ea Ts'okelo: data, theknoloji, batho.
Lintlha (eng?), ho kenyelletsa le Big Data. Mefuta eohle ea phallo ea sephethephethe, tlhahisoleseling mabapi le li-APT tse fetileng, li-analytics, data mabapi le ts'ebetso ea mosebelisi, data ea marang-rang, tlhahisoleseling ho tsoa ho basebetsi, tlhahisoleseling ho darknet le tse ling tse ngata.
Theknoloji (joang?) ho sebetsana le data ena - mekhoa eohle e ka khonehang ea ho sebetsana le data ena, ho kenyelletsa le ho Ithuta ka Mochini.
Batho (mang?) - ba nang le phihlelo e pharaletseng ea ho hlahloba litlhaselo tse fapa-fapaneng, ba ntlafalitse intuition le bokhoni ba ho lemoha tlhaselo. Ka tloaelo bana ke bahlahlobisisi ba ts'ireletso ea tlhahisoleseling ba tlamehang ho ba le bokhoni ba ho hlahisa likhopolo-taba le ho li fumanela netefatso. Ke bona sehokelo se ka sehloohong tšebetsong.
Mohlala PARIS
Adam Bateman PARIS ea mohlala bakeng sa ts'ebetso e nepahetseng ea TH. Lebitso lena le bolela sebaka se tsebahalang sa Fora. Mohlala ona o ka bonoa ka mahlakoreng a mabeli - ho tloha holimo le tlase.
Ha re ntse re sebetsa ka mohlala ho tloha tlase holimo, re tla kopana le bopaki bo bongata ba liketso tse lonya. Bopaki bo bong le bo bong bo na le tekanyo e bitsoang kholiseho - tšobotsi e bonahatsang boima ba bopaki bona. Ho na le "tšepe", bopaki bo tobileng ba ts'ebetso e mpe, ho latela seo re ka fihlang hang-hang ka holim'a piramite le ho etsa tlhokomeliso ea sebele mabapi le tšoaetso e tsejoang ka ho toba. 'Me ho na le bopaki bo sa tobang, kakaretso ea eona e ka re lebisang holimo ho phiramide. Joalo ka mehla, ho na le bopaki bo bongata bo sa tobang ho feta bopaki bo tobileng, ho bolelang hore li hloka ho hlophisoa le ho hlahlobisisoa, ho tlameha ho etsoa lipatlisiso tse eketsehileng, 'me ho bohlokoa ho iketsetsa sena.
Mohlala PARIS.
Karolo e ka holimo ea mohlala (1 le 2) e itšetlehile ka theknoloji ea boiketsetso le li-analytics tse sa tšoaneng, 'me karolo e ka tlaase (3 le 4) e thehiloe ho batho ba nang le mangolo a itseng a tsamaisang mokhoa ona. U ka nahana ka mohlala ho tloha holimo ho ea tlaase, moo karolong e ka holimo ea 'mala o moputsoa re nang le litlhokomeliso tse tsoang ho lisebelisoa tsa ts'ireletso tsa setso (antivirus, EDR, firewall, signatures) ka tekanyo e phahameng ea tšepo le tšepo,' me ka tlase ke matšoao ( IOC, URL, MD5 le tse ling), tse nang le boemo bo tlase ba bonnete mme li hloka boithuto bo eketsehileng. 'Me boemo bo tlaase le bo boima ka ho fetisisa (4) ke moloko oa likhopolo-taba, ho thehoa ha maemo a macha bakeng sa ts'ebetso ea mekhoa ea setso ea tšireletso. Boemo bona ha bo felle feela mehloling e boletsoeng ea likhopolo-taba. Ha boemo bo le tlase, litlhoko tse ngata li behoa holim'a mangolo a mohlahlobi.
Ho bohlokoa haholo hore bahlahlobisisi ba se ke ba leka feela sete e lekanyelitsoeng ea menahano e reriloeng esale pele, empa ba sebetse kamehla ho hlahisa menahano e mecha le likhetho tsa ho li leka.
TH Tšebeliso ea Maturity Model
Lefatšeng le letle, TH ke ts'ebetso e tsoelang pele. Empa, kaha ha ho na lefatše le loketseng, a re hlahlobeng le mekhoa ho latela batho, lits'ebetso le mahlale a sebelisoang. Ha re nahaneng ka mohlala oa TH e chitja e loketseng. Ho na le maemo a 5 a ho sebelisa theknoloji ena. A re ba shebeng re sebelisa mohlala oa phetoho ea sehlopha se le seng sa bahlahlobisisi.
Maemo a ho hola
batho
Mekhahlelo
ea theknoloji
Boemo ba 0
Bahlahlobisisi ba SOC
24/7
Lisebelisoa tsa setso:
Ea setso
Sehlopha sa litlhokomeliso
Tlhokomelo e sa fetoheng
IDS, AV, Sandboxing,
Ntle le TH
Ho sebetsa ka litemoso
Lisebelisoa tsa ho hlahloba li-signature, data ea Threat Intelligence.
Boemo ba 1
Bahlahlobisisi ba SOC
Nako e le 'ngoe TH
EDR
Teko
Tsebo ea motheo ea forensics
Patlo ea IOC
Tšireletso e fokolang ea data ho tsoa ho lisebelisoa tsa marang-rang
Liteko ka TH
Tsebo e ntle ea marang-rang le lits'ebetso
Tšebeliso e sa fellang
Boemo ba 2
Mosebetsi wa nakwana
Li-sprints
EDR
Nako le nako
Karolelano ea tsebo ea forensics
Beke le khoeli
Tšebeliso e feletseng
TH ea nakoana
Tsebo e babatsehang ea marang-rang le lisebelisoa
Kamehla TH
Boiketsetso bo felletseng ba tšebeliso ea data ea EDR
Tšebeliso e fokolang ea bokhoni bo tsoetseng pele ba EDR
Boemo ba 3
Taelo ea TH e inehetseng
24/7
Bokhoni bo sa lekanyetsoang ba ho leka likhopolo-taba TH
Thibelo
Tsebo e babatsehang ea forensics le malware
Thibelo TH
Tšebeliso e felletseng ea bokhoni bo tsoetseng pele ba EDR
Linyeoe tse khethehileng TH
Tsebo e babatsehang ea lehlakore le hlaselang
Linyeoe tse khethehileng TH
Kakaretso e felletseng ea data ho tsoa lisebelisoa tsa marang-rang
Configuration ho lumellana le litlhoko tsa hau
Boemo ba 4
Taelo ea TH e inehetseng
24/7
Bokhoni bo felletseng ba ho leka menahano ea TH
Ea etellang pele
Tsebo e babatsehang ea forensics le malware
Thibelo TH
Mohato oa 3, hammoho le:
Ho sebelisa TH
Tsebo e babatsehang ea lehlakore le hlaselang
Teko, boiketsetso le netefatso ea menahano ea TH
kopanyo e tiileng ea mehloli ea data;
Bokhoni ba ho etsa lipatlisiso
nts'etsopele ho latela litlhoko le ts'ebeliso e sa tloaelehang ea API.
TH maemo a kholo ka batho, lits'ebetso le mahlale
Nane ea 0: setso, ntle le ho sebelisa TH. Bahlahlobisisi ba kamehla ba sebetsa ka litemoso tse tloaelehileng ka mokhoa oa ho beha leihlo feela ba sebelisa lisebelisoa le mahlale a tloaelehileng: IDS, AV, sandbox, lisebelisoa tsa tlhahlobo ea tekeno.
Nane ea 1: liteko, ho sebelisa TH. Bahlahlobisisi ba tšoanang ba nang le tsebo ea motheo ea forensics le tsebo e ntle ea marang-rang le lits'ebetso ba ka etsa nako e le 'ngoe ea ho Tsoma Kotsi ka ho batla matšoao a ho sekisetsa. Li-EDR li eketsoa ho lisebelisoa tse nang le tšireletso e sa fellang ea data ho tloha lisebelisoa tsa marang-rang. Lisebelisoa li sebelisoa hanyane.
Nane ea 2: periodic, nakoana TH. Bahlahlobisisi ba tšoanang ba seng ba ntlafalitse tsebo ea bona litabeng tsa forensics, marang-rang le karolo ea kopo ba hlokeha ho kopanela kamehla Threat Hunting (sprint), e re, beke ka khoeli. Lisebelisoa li eketsa tlhahlobo e feletseng ea data ho tloha lisebelisoa tsa marang-rang, ho iketsetsa tlhahlobo ea data ho tloha EDR, le tšebeliso e sa fellang ea bokhoni bo tsoetseng pele ba EDR.
Nane ea 3: e thibelang, linyeoe tsa khafetsa tsa TH. Bahlahlobisisi ba rona ba ile ba itlhophisa ho ba sehlopha se inehetseng 'me ba qala ho ba le tsebo e babatsehang ea forensics le malware, hammoho le tsebo ea mekhoa le maqheka a lehlakore le hlaselang. Ts'ebetso e se e ntse e etsoa 24/7. Sehlopha se khona ho lekola maikutlo a TH ka mokhoa o itseng ha se ntse se sebelisa ka botlalo bokhoni bo tsoetseng pele ba EDR ka ts'ireletso e felletseng ea data ho tsoa lisebelisoa tsa marang-rang. Bahlahlobisisi ba boetse ba khona ho hlophisa lisebelisoa ho lumellana le litlhoko tsa bona.
Nane ea 4: maemo a holimo, sebelisa TH. Sehlopha se tšoanang se ile sa fumana bokhoni ba ho etsa lipatlisiso, bokhoni ba ho hlahisa le ho iketsetsa mokhoa oa ho hlahloba likhopolo tsa TH. Hona joale lisebelisoa li tlatsitsoe ke ho kopanngoa haufi-ufi ha mehloli ea data, nts'etsopele ea software ho finyella litlhoko, le tšebeliso e sa tloaelehang ea li-API.
Mekhoa ea ho Tsoma ea Kotsi
Mekhoa ea ho Tsoma ea Kotsi ea Motheo
К TH, ka tatellano ea kholo ea theknoloji e sebelisoang, ke: lipatlisiso tsa mantlha, tlhahlobo ea lipalo-palo, mekhoa ea pono, li-aggregations tse bonolo, ho ithuta ka mochini, le mekhoa ea Bayesian.
Mokhoa o bonolo ka ho fetesisa, patlisiso ea mantlha, e sebelisoa ho fokotsa sebaka sa lipatlisiso ho sebelisa lipotso tse ikhethileng. Tlhahlobo ea lipalo-palo e sebelisoa, ka mohlala, ho haha mosebetsi o tloaelehileng kapa mosebetsi oa marang-rang ka mokhoa oa lipalo-palo. Mekhoa ea ho bonts'a pono e sebelisoa ho bonts'a le ho nolofatsa tlhahlobo ea data ka mokhoa oa li-graph le lichate, tse etsang hore ho be bonolo haholo ho lemoha mekhoa ea sampole. Mokhoa oa ho kopanya habonolo ka likarolo tsa bohlokoa o sebelisetsoa ho ntlafatsa lipatlisiso le tlhahlobo. Ha ts'ebetso ea TH ea mokhatlo e ntse e hola haholoanyane, ts'ebeliso ea mekhoa ea ho ithuta ka mochini e ba ea bohlokoa haholoanyane. Li boetse li sebelisoa haholo ho sefa spam, ho lemoha sephethephethe se kotsi le ho lemoha liketso tsa bolotsana. Mofuta o tsoetseng pele haholo oa algorithm ea ho ithuta mochini ke mekhoa ea Bayesian, e lumellang ho aroloa, ho fokotsa boholo ba sampole, le mohlala oa lihlooho.
Diamond Model le TH Strategies
Sergio Caltagiron, Andrew Pendegast le Christopher Betz mosebetsing oa bona "» e bonts'itse likarolo tsa mantlha tsa ts'ebetso efe kapa efe e mpe le khokahano ea mantlha lipakeng tsa tsona.
Mohlala oa daemane bakeng sa ts'ebetso e mpe
Ho ea ka mohlala ona, ho na le maano a 4 a ho Tsoma Litšokelo, a thehiloeng ho likarolo tsa bohlokoa tse lumellanang.
1. Leano le lebisitsoeng ho bahlaseluoa. Re nka hore motho ea hlokofalitsoeng o na le bahanyetsi 'me ba tla fana ka "menyetla" ka imeile. Re batla lintlha tsa sera ka poso. Batla lihokelo, lihokelo, joalo-joalo. Re batla bopaki ba khopolo-taba ena ka nako e itseng (khoeli, libeke tse peli); haeba re sa e fumane, joale khopolo-taba ha ea ka ea sebetsa.
2. Leano le shebaneng le libopeho tsa motheo. Ho na le mekhoa e mengata ea ho sebelisa leano lena. Ho ipapisitse le phihlello le ponahalo, tse ling li bonolo ho feta tse ling. Mohlala, re beha leihlo li-server tsa mabitso a domain tse tsebahalang ho amohela libaka tse mpe. Kapa re feta ts'ebetsong ea ho lekola ngoliso eohle e ncha ea domain name bakeng sa mohlala o tsebahalang o sebelisoang ke mohanyetsi.
3. Leano le tsamaisoang ke bokhoni. Ntle le leano le shebaneng le mahlatsipa le sebelisoang ke batšehetsi ba bangata ba marang-rang, ho na le leano le shebaneng le monyetla. Ke ea bobeli e tummeng ka ho fetisisa 'me e shebane le ho lemoha bokhoni ba mohanyetsi, e leng "malware" le bokhoni ba mohanyetsi ho sebelisa lisebelisoa tse nepahetseng tse kang psexec, powershell, certutil le tse ling.
4. Leano le sekametseng ho lira. Mokgwa wo o lebanego le molwantshwa o lebane le molwantshwa ka boyena. Sena se kenyelletsa ts'ebeliso ea tlhaiso-leseling e bulehileng ho tsoa mehloling e fumanehang phatlalatsa (OSINT), pokello ea data mabapi le sera, mekhoa le mekhoa ea hae (TTP), tlhahlobo ea liketsahalo tse fetileng, data ea Threat Intelligence, jj.
Mehloli ea tlhahisoleseling le mehopolo ho TH
Mehloli e meng ea tlhahisoleseling bakeng sa Threat Hunting
Ho ka ba le mehloli e mengata ea boitsebiso. Mohlahlobi ea tšoanelehang o lokela ho tseba ho ntša tlhahisoleseling ho tsohle tse teng. Mehloli e tloaelehileng hoo e batlang e le lisebelisoa leha e le life e tla ba lintlha tse tsoang lisebelisoa tsa ts'ireletso: DLP, SIEM, IDS / IPS, WAF / FW, EDR. Hape, mehloli e tloaelehileng ea tlhahisoleseling e tla ba matšoao a fapaneng a ho sekisetsa, lits'ebeletso tsa Threat Intelligence, data ea CERT le OSINT. Ho phaella moo, o ka sebelisa boitsebiso bo tsoang ho darknet (mohlala, ka tšohanyetso ho na le taelo ea ho senya lebokose la poso la hlooho ea mokhatlo, kapa mokhethoa oa boemo ba moenjiniere oa marang-rang o senotsoe bakeng sa mosebetsi oa hae), tlhahisoleseding e fumanoeng ho tloha HR (litlhahlobo tsa mokhethoa ea tsoang sebakeng sa pele sa mosebetsi), tlhaiso-leseling e tsoang ho ts'ebeletso ea ts'ireletso (mohlala, liphetho tsa netefatso ea molekane).
Empa pele o sebelisa mehloli eohle e teng, ho hlokahala hore bonyane ho be le khopolo-taba e le 'ngoe.
E le ho etsa tlhahlobo ea likhopolo, li tlameha ho hlahisoa pele. 'Me e le ho hlahisa maikutlo a mangata a boleng bo phahameng, hoa hlokahala ho sebelisa mokhoa o hlophisitsoeng. Mokhoa oa ho hlahisa likhopolo-taba o hlalosoa ka ho qaqileng haholoanyane ho, ho bonolo haholo ho nka morero ona e le motheo oa ts'ebetso ea ho beha likhopolo-taba.
Mohloli o ka sehloohong oa likhopolo-taba e tla ba ATT&CK matrix (Maqheka a Bahanyetsi, Mekhoa le Tsebo e Tloaelehileng). Ha e le hantle, ke motheo oa tsebo le mohlala oa ho hlahloba boitšoaro ba bahlaseli ba etsang mesebetsi ea bona mehatong ea ho qetela ea tlhaselo, hangata e hlalosoang ho sebelisoa khopolo ea Kill Chain. Ke hore, methating ea ka mor'a hore mohlaseli a kenelle marang-rang a ka hare a khoebo kapa mochine oa selefouno. Motheo oa tsebo qalong o ne o kenyelletsa litlhaloso tsa maqheka le mekhoa ea 121 e sebelisoang tlhaselong, e 'ngoe le e' ngoe ea tsona e hlalosoa ka botlalo ka mokhoa oa Wiki. Litlhahlobo tse fapaneng tsa Threat Intelligence li loketse hantle joalo ka mohloli oa ho hlahisa likhopolo. Habohlokoa ka ho khetheha ke liphello tsa tlhahlobo ea mekhoa ea motheo le liteko tsa ho kenella - ena ke lintlha tsa bohlokoa ka ho fetisisa tse ka re fang maikutlo a ironclad ka lebaka la hore li thehiloe holim'a mohaho o itseng o nang le mefokolo ea oona e khethehileng.
Ts'ebetso ea tlhahlobo ea hypothesis
Sergei Soldatov o ile a tlisa ka tlhaloso e qaqileng ea ts'ebetso, e bonts'a mokhoa oa ho hlahloba maikutlo a TH ka mokhoa o le mong. Ke tla bontša mekhahlelo e meholo ka tlhaloso e khutšoanyane.
Mothati oa 1: Temo ea TI
Mothating ona hoa hlokahala ho totobatsa dintho (ka ho li sekaseka hammoho le lintlha tsohle tsa tšokelo) le ho li fa lileibole bakeng sa litšobotsi tsa tsona. Tsena ke faele, URL, MD5, tshebetso, utility, ketsahalo. Ha u li fetisa ka litsamaiso tsa Threat Intelligence, hoa hlokahala ho hokela li-tag. Ke hore, sebaka sena sa marang-rang se ile sa hlokomeloa ho CNC ka selemo se joalo, MD5 ena e ne e amahanngoa le malware a joalo le a joalo, MD5 ena e ile ea kopitsoa ho tsoa sebakeng se abang malware.
Mothati oa 2: Linyeoe
Mothating oa bobeli, re sheba tšebelisano lipakeng tsa lintho tsena le ho tseba likamano lipakeng tsa lintho tsena kaofela. Re fumana litsamaiso tse tšoailoeng tse etsang ntho e mpe.
Mothati oa 3: Mohlahlobi
Mothating oa boraro, nyeoe e fetisetsoa ho mohlahlobi ea nang le phihlelo ea nang le phihlelo e ngata ea ho hlahloba, 'me o etsa qeto. O ipapisa le li-byte hore na, hokae, joang, hobaneng, le hore na hobaneng khoutu ena e etsa. 'Mele ona e ne e le malware, komporo ena e ne e tšoaelitsoe. E senola likhokahano lipakeng tsa lintho, e hlahloba liphetho tsa ho matha ka har'a sandbox.
Liphetho tsa mosebetsi oa mohlahlobi li fetisoa ho ea pele. Digital Forensics e hlahloba litšoantšo, Tlhahlobo ea Malware e hlahloba "'mele" e fumanoeng,' me sehlopha sa Karabelo ea Ketsahalo se ka ea sebakeng sa marang-rang 'me sa batlisisa ntho e seng e ntse e le teng. Sephetho sa mosebetsi e tla ba khopolo-taba e tiisitsoeng, tlhaselo e tsejoang le litsela tsa ho e hanyetsa.
Liphello
Threat Hunting ke thekenoloji e sa ntseng e le monyane e ka hananang le litšokelo tse ikhethileng, tse ncha le tse sa tloaelehang, tse nang le litebello tse kholo ho latela palo e ntseng e hola ea litšokelo tse joalo le ho rarahana ho ntseng ho eketseha ha meralo ea motheo ea likhoebo. E hloka likarolo tse tharo - data, lisebelisoa le bahlahlobisisi. Melemo ea ho Tsoma Litšokelo ha e felle feela ho thibela ts'ebetsong ea litšokelo. U se ke ua lebala hore nakong ea ts'ebetso ea ho batla re ikakhela ka setotsoana meahong ea rona le lintlha tsa eona tse fokolang ka mahlo a setsebi sa ts'ireletso mme re ka matlafatsa lintlha tsena ka ho eketsehileng.
Mehato ea pele eo, ka maikutlo a rona, e hlokang ho nkuoa ho qala ts'ebetso ea TH mokhatlong oa hau.
- Hlokomela ho sireletsa li-endpoints le lisebelisoa tsa marang-rang. Hlokomela ponahalo (NetFlow) le taolo (firewall, IDS, IPS, DLP) ea lits'ebetso tsohle tsa marang-rang a hau. Tseba marang-rang a hau ho tloha ho router ea moeli ho ea ho moamoheli oa ho qetela.
- Hlahloba.
- Etsa lipente tse tloaelehileng tsa bonyane lisebelisoa tsa bohlokoa tsa ka ntle, hlahloba liphello tsa eona, ho khetholla lipakane tse ka sehloohong tsa tlhaselo le ho koala bofokoli ba bona.
- Kenya ts'ebetsong sistimi e bulehileng ea Threat Intelligence (mohlala, MISP, Yeti) 'me u hlahlobe lits'oants'o tsa marang-rang hammoho le eona.
- Kenya ts'ebetsong sethala sa karabo ea liketsahalo (IRP): R-Vision IRP, The Hive, sandbox bakeng sa ho hlahloba lifaele tse belaetsang (FortiSandbox, Cuckoo).
- Iketsetse mekhoa e tloaelehileng. Tlhahlobo ea lits'oants'o, ho rekota liketsahalo, ho tsebisa basebetsi ke sebaka se seholo sa boits'oaro.
- Ithute ho sebelisana hantle le baenjiniere, bahlahisi, le tšehetso ea tekheniki ho sebelisana liketsahalong.
- Ngola ts'ebetso eohle, lintlha tsa bohlokoa, liphetho tse fihletsoeng e le ho khutlela ho tsona hamorao kapa ho arolelana lintlha tsena le basebetsi-'moho;
- E-ba le setsoalle: Hlokomela se etsahalang ka basebeletsi ba hao, bao u ba hirileng, le bao u ba fang monyetla oa ho fumana mehloli ea tlhahisoleseding ea mokhatlo.
- Lula u tseba se etsahalang tšimong ea litšokelo tse ncha le mekhoa ea ts'ireletso, eketsa boemo ba hau ba tsebo ea tekheniki (ho kenyeletsoa ts'ebetsong ea lits'ebeletso tsa IT le lits'ebetso tse tlase), e-ea likopanong le ho buisana le basebetsi-'moho.
Itokiselitse ho buisana ka mokhatlo o hlophisitsoeng oa ts'ebetso ea TH ho litlhaloso.
Kapa tloo sebetsa le rona!
Mehloli le lisebelisoa tsa ho ithuta
Source: www.habr.com