奇安信威胁情报中心:基于ATT&CK的APT威胁狩猎实践
需积分: 36 143 浏览量
更新于2024-07-17
2
收藏 10.72MB PDF 举报
"该文档是奇安信威胁情报中心‘红雨滴’团队关于基于ATT&CK框架的APT威胁跟踪和狩猎的研究报告。报告详细介绍了如何运用ATT&CK模型来理解和对抗高级持续性威胁(APT)的策略和技术。团队专注于威胁情报、高级威胁分析以及机读威胁情报的生产。报告涵盖了ATT&CK模型的各个阶段,包括侦察、武器化、分发、利用、安装、命令与控制、行动等,以及如何通过数据处理和分析来进行威胁狩猎。"
在威胁情报领域,ATT&CK(Attack Tactics, Techniques, and Common Knowledge)模型是一个广泛使用的框架,由网络安全机构MITRE开发,用于描述和分类攻击者的行为。它将攻击过程分为不同的战术阶段,每个阶段下又包含具体的技术,帮助安全专业人员理解并防御各种攻击策略。
报告中提到,ATT&CK模型已经从STIX1.2的TTP(Tactics, Techniques, and Procedures)映射到STIX2.0,提供了更精细的攻击技术描述。在实际应用中,通过分析攻击团伙的历史战术和技术,可以识别其常用的攻击手段,从而设置有效的检测点和检测特征。这些特征可能来源于日志数据、公开报告、技术研究,甚至是红队的模拟攻击。
在数据与处理环节,报告强调了如Windows日志、SYSMON、AUTORUNS等监控工具的重要性,以及自定义监测程序在检测网络和系统行为中的作用。这些工具可以帮助识别出如文件操作、网络流量、进程、注册表变化等关键行为指标(Observables/IOCs)。
报告还提到了ATT&CK框架下的企业技术,覆盖了Windows、Linux、MacOS等多个平台,列举了244种攻击技术,以及86个已知的攻击组织和377种常被利用的恶意软件或工具。这些数据为威胁狩猎提供了丰富的参考。
此外,报告引用了RedCanary的“Threat Detection Report”2019,进一步展示了如何将ATT&CK模型应用于实战中的威胁检测。
这份报告为安全专业人员提供了一套基于ATT&CK的APT威胁追踪和狩猎方法论,有助于提升组织的威胁防御能力,及时发现并应对高级威胁。通过对ATT&CK框架的深入理解和应用,可以更有效地预测、检测和响应APT攻击,从而保护企业的信息安全。
2022-08-03 上传
2021-05-07 上传
2023-08-05 上传
2023-09-17 上传
2023-05-30 上传
2023-09-08 上传
2023-06-09 上传
2023-05-30 上传
zhao-lucy
- 粉丝: 19
- 资源: 436
最新资源
- 前端面试必问:真实项目经验大揭秘
- 永磁同步电机二阶自抗扰神经网络控制技术与实践
- 基于HAL库的LoRa通讯与SHT30温湿度测量项目
- avaWeb-mast推荐系统开发实战指南
- 慧鱼SolidWorks零件模型库:设计与创新的强大工具
- MATLAB实现稀疏傅里叶变换(SFFT)代码及测试
- ChatGPT联网模式亮相,体验智能压缩技术.zip
- 掌握进程保护的HOOK API技术
- 基于.Net的日用品网站开发:设计、实现与分析
- MyBatis-Spring 1.3.2版本下载指南
- 开源全能媒体播放器:小戴媒体播放器2 5.1-3
- 华为eNSP参考文档:DHCP与VRP操作指南
- SpringMyBatis实现疫苗接种预约系统
- VHDL实现倒车雷达系统源码免费提供
- 掌握软件测评师考试要点:历年真题解析
- 轻松下载微信视频号内容的新工具介绍