Awesome Threat Detection and Hunting Resources 教学文档

Awesome Threat Detection and Hunting Resources 教学文档 1. 概述 本教学文档基于SecWiki周刊第203期中的"awesome-threat-detection"资源集合，专注于威胁检测和狩猎(Threat Detection and Hunting)领域的高质量资源。 2. 威胁检测基础 2.1 核心概念 威胁检测(Threat Detection) : 识别系统中潜在恶意活动的过程 威胁狩猎(Threat Hunting) : 主动搜索环境中未被检测到的威胁 关键指标(IoCs) : 用于识别恶意活动的指标 攻击技术(TTPs) : 攻击者的战术、技术和程序 2.2 检测方法论 基于签名的检测 使用已知的恶意模式进行匹配 适用于已知威胁的快速检测 基于异常的检测 建立正常行为基线 检测偏离基线的活动 行为分析 关注攻击者的操作序列 识别恶意行为模式而非单一事件 3. 威胁狩猎框架 3.1 MITRE ATT&CK框架 战术(Tactics) : 攻击者的目标(如初始访问、执行、持久化等) 技术(Techniques) : 实现战术的具体方法 子技术(Sub-techniques) : 技术的更精细分类 3.2 Cyber Kill Chain 侦察 武器化 交付 利用 安装 命令与控制 目标达成 4. 实用工具集 4.1 开源检测工具 Sigma : 通用的SIEM规则格式 YARA : 模式匹配工具，用于识别恶意文件 Snort/Suricata : 网络入侵检测系统 Zeek (原Bro) : 网络流量分析框架 4.2 狩猎工具 Kibana/Elastic Stack : 日志分析和可视化 Velociraptor : 端点可见性和数据收集 Mordor : 攻击模拟数据集 Atomic Red Team : 测试检测能力的攻击模拟 5. 数据源与日志分析 5.1 关键数据源 端点数据 进程创建 文件系统活动 注册表修改 网络连接 网络数据 网络流量 DNS查询 代理日志 身份验证数据 登录事件 账户变更 权限提升 5.2 日志分析技术 时间序列分析 : 检测异常时间模式 关联分析 : 连接不同来源的事件 统计异常检测 : 识别罕见或异常行为 6. 检测规则开发 6.1 规则编写最佳实践 明确规则目的和范围 使用清晰的命名约定 包含足够的上下文信息 定期审查和更新规则 6.2 常见检测模式 横向移动检测 权限提升检测 数据渗出检测 持久化机制检测 7. 威胁情报整合 7.1 情报类型 战略情报 : 高级威胁行为者信息 战术情报 : TTPs和攻击模式 运营情报 : 具体的IoCs 7.2 情报来源 开源情报(OSINT) 商业威胁情报源 信息共享组织(ISACs) 8. 持续学习资源 8.1 推荐阅读 《The Practice of Network Security Monitoring》 《Threat Hunting with Elastic Stack》 《Blue Team Field Manual》 8.2 在线资源 MITRE ATT&CK知识库 SANS威胁狩猎资源 各类安全博客和研究论文 9. 实践建议 从小的、可管理的范围开始 建立可衡量的成功标准 记录和分享发现 持续改进检测能力 10. 总结 威胁检测和狩猎是一个持续的过程，需要结合技术工具、分析方法和威胁情报。通过系统地应用这些资源和方法，安全团队可以显著提高发现和响应高级威胁的能力。