🎯 Threat Hunting Methodology

ΠŸΡ€ΠΎΠ°ΠΊΡ‚ΠΈΠ²Π½Ρ‹ΠΉ поиск ΡƒΠ³Ρ€ΠΎΠ· Π² инфраструктурС

πŸ’‘
Hypothesis
Π€ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹ ΠΎ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΡƒΠ³Ρ€ΠΎΠ·Π΅
β†’
πŸ“Š
Data Collection
Π‘Π±ΠΎΡ€ Ρ€Π΅Π»Π΅Π²Π°Π½Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ Π»ΠΎΠ³ΠΎΠ²
β†’
πŸ”
Investigation
Анализ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ поиск ΠΈΠ½Π΄ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ²
β†’
βœ…
Detection
ΠžΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ ΠΈΠ»ΠΈ ΠΎΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΆΠ΅Π½ΠΈΠ΅ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹
β†’
πŸ”„
Improvement
Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ ΠΏΡ€Π°Π²ΠΈΠ» ΠΈ автоматизация

🎯 Intelligence-Driven

ΠžΡ…ΠΎΡ‚Π° Π½Π° основС Threat Intelligence

  • APT Π³Ρ€ΡƒΠΏΠΏΡ‹ Π² вашСй индустрии
  • НовыС CVE для Π²Π°ΡˆΠΈΡ… систСм
  • IOC ΠΈΠ· threat feeds
  • TTP извСстных ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΉ

πŸ“ˆ Analytics-Driven

ΠžΡ…ΠΎΡ‚Π° Π½Π° основС Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ

  • БтатистичСскиС отклонСния
  • Machine Learning ΠΌΠΎΠ΄Π΅Π»ΠΈ
  • Baseline Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ
  • ΠŸΠΎΠ²Π΅Π΄Π΅Π½Ρ‡Π΅ΡΠΊΠΈΠΉ Π°Π½Π°Π»ΠΈΠ·

πŸ”§ Situational-Driven

ΠžΡ…ΠΎΡ‚Π° Π½Π° основС ситуации

  • Crown jewels assessment
  • ΠšΡ€ΠΈΡ‚ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ Π°ΠΊΡ‚ΠΈΠ²Ρ‹
  • БизнСс-риски
  • Compliance трСбования

πŸ“Š Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊΠΈ Π΄Π°Π½Π½Ρ‹Ρ… для Threat Hunting

πŸ–₯️
Endpoint Data
🌐
Network Traffic
πŸ“œ
Log Files
☁️
Cloud Logs
πŸ“§
Email Gateway
πŸ”
Authentication
πŸ›‘οΈ
EDR/XDR
πŸ”
DNS Logs

🎯 Π’ΠΈΠΏΡ‹ Threat Hunting

πŸ”Ž
Structured Hunting
Основан на IoA и TTP из MITRE ATT&CK
🎲
Unstructured Hunting
ИсслСдованиС Π½Π° основС Ρ‚Ρ€ΠΈΠ³Π³Π΅Ρ€Π° ΠΈΠ»ΠΈ IoC
πŸ€–
Machine-Assisted
ИспользованиС ML ΠΈ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ

πŸ“‹ ΠŸΡ€ΠΈΠΌΠ΅Ρ€ Playbook: Hunt for Lateral Movement

Π€ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ Π³ΠΈΠΏΠΎΡ‚Π΅Π·Ρ‹
Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ RDP/SMB для lateral movement послС ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ
Π‘Π±ΠΎΡ€ Π΄Π°Π½Π½Ρ‹Ρ…
Windows Event ID 4624 (logon), 4648 (explicit credentials), сСтСвыС соСдинСния Π½Π° 445/3389
Анализ ΠΏΠ°Ρ‚Ρ‚Π΅Ρ€Π½ΠΎΠ²
Поиск: мноТСствСнныС Π²Ρ…ΠΎΠ΄Ρ‹ с ΠΎΠ΄Π½ΠΎΠ³ΠΎ источника, Π½Π΅ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠ΅ врСмя, сСрвисныС Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Ρ‹ Π½Π° workstations
ΠšΠΎΡ€Ρ€Π΅Π»ΡΡ†ΠΈΡ событий
БопоставлСниС сСтСвых соСдинСний с Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° лСгитимности
Π”ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅
Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ IoC, ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΏΡ€Π°Π²ΠΈΠ» SIEM, ΠΎΡ‚Ρ‡Ρ‘Ρ‚ ΠΎ Π½Π°Ρ…ΠΎΠ΄ΠΊΠ°Ρ…

πŸ› οΈ Π˜Π½ΡΡ‚Ρ€ΡƒΠΌΠ΅Π½Ρ‚Ρ‹ Threat Hunting

πŸ” Поиск ΠΈ Π°Π½Π°Π»ΠΈΠ·
  • Splunk / Elastic Stack
  • Jupyter Notebooks + Python
  • Sigma Rules
  • YARA
  • osquery
🌐 Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ Π°Π½Π°Π»ΠΈΠ·
  • Zeek (Bro)
  • Wireshark / tshark
  • NetworkMiner
  • Rita (Real Intelligence Threat Analytics)
  • Moloch/Arkime
πŸ–₯️ Endpoint Π°Π½Π°Π»ΠΈΠ·
  • Velociraptor
  • GRR Rapid Response
  • Carbon Black
  • Sysmon + WEF
  • PowerShell Empire (detection)