---

也許每個(gè)人出生的時(shí)候都以為這世界都是為他一個(gè)人而存在的，當(dāng)他發(fā)現(xiàn)自己錯(cuò)的時(shí)候，他便開(kāi)始長(zhǎng)大

少走了彎路，也就錯(cuò)過(guò)了風(fēng)景，無(wú)論如何，感謝經(jīng)歷

---

轉(zhuǎn)移發(fā)布平臺(tái)通知：將不再在CSDN博客發(fā)布新文章，敬請(qǐng)移步知識(shí)星球

感謝大家一直以來(lái)對(duì)我CSDN博客的關(guān)注和支持，但是我決定不再在這里發(fā)布新文章了。為了給大家提供更好的服務(wù)和更深入的交流，我開(kāi)設(shè)了一個(gè)知識(shí)星球，內(nèi)部將會(huì)提供更深入、更實(shí)用的技術(shù)文章，這些文章將更有價(jià)值，并且能夠幫助你更好地解決實(shí)際問(wèn)題。期待你加入我的知識(shí)星球，讓我們一起成長(zhǎng)和進(jìn)步

---

汽車(chē)威脅狩獵專欄長(zhǎng)期更新，本篇最新內(nèi)容請(qǐng)前往：

• [車(chē)聯(lián)網(wǎng)安全自學(xué)篇] 汽車(chē)威脅狩獵之關(guān)于威脅狩獵該如何入門(mén)？你必須知道的那些事「7萬(wàn)字詳解」

本文內(nèi)容請(qǐng)忽略… …

0x01 威脅狩獵技巧 1：了解你的環(huán)境中什么是正常情況，那么你將能夠更容易地發(fā)現(xiàn)異常情況

太多的企業(yè)試圖在不了解他們的環(huán)境的情況下，跳入威脅狩獵的深淵（這是一個(gè)追逐松鼠和兔子，而且收效甚微的方法）。 威脅狩獵最終是在一個(gè)環(huán)境中尋找未知因素的做法，因此，了解什么是 “正常業(yè)務(wù)” 與 “可疑”、甚至 “惡意” 相比是至關(guān)重要的

為了理解環(huán)境，請(qǐng)確保你能獲得盡可能多的信息，包括網(wǎng)絡(luò)圖、以前的事件報(bào)告，以及能得到的任何其他文件，并確保你擁有網(wǎng)絡(luò)和終端層面的日志，以支持你的狩獵

0x02 威脅狩獵技巧 2：當(dāng)建立狩獵活動(dòng)時(shí)，根據(jù)你的假設(shè)，從一般的情況開(kāi)始，再到具體的情況。通過(guò)這樣做，可以創(chuàng)建上下文，并了解你在環(huán)境中尋找的是什么

當(dāng)建立狩獵活動(dòng)時(shí)，根據(jù)你的假設(shè)，從一般的情況開(kāi)始，再到具體的情況。通過(guò)這樣做，可以創(chuàng)建上下文，并了解你在環(huán)境中尋找的是什么

當(dāng)威脅獵手第一次在結(jié)構(gòu)化的威脅狩獵中嶄露頭角時(shí)，他們中的許多人都在努力建立他們的第一個(gè)假設(shè)。許多人發(fā)現(xiàn)這個(gè)過(guò)程，具有挑戰(zhàn)性的原因往往是他們?cè)噲D有點(diǎn)過(guò)于具體了。與其直接跳到細(xì)節(jié)上，不如先嘗試在你的假設(shè)中更多地體現(xiàn)出一般的情況。通過(guò)這樣做，你將更好地塑造你的狩獵，并在此過(guò)程中增加額外的上下文信息

0x03 威脅狩獵技巧 3：有時(shí)，最好狩獵你了解和知道的事物然后進(jìn)行可視化，而不是狩獵你專業(yè)知識(shí)之外的事物，并嘗試進(jìn)行可視化到你知道的事物上

有時(shí)，在你了解和知道的事情上狩獵，然后再進(jìn)行可視化，與在你的專業(yè)知識(shí)之外的事情上狩獵，并試圖可視化到你知道的事情上，效果更好。

新的獵手遇到的最常見(jiàn)的挑戰(zhàn)之一是，很容易很快擺脫困境。并不是每個(gè)信息安全專業(yè)人員，都是所有領(lǐng)域的專家，在威脅狩獵方面也是如此

無(wú)論你，是剛開(kāi)始，還是已經(jīng)狩獵了一些時(shí)間，同樣的建議是正確的：狩獵你理解的東西，然后通過(guò)可視化來(lái)挖掘這些數(shù)據(jù)。這可以確保你理解你正在查看的東西，并讓你對(duì)數(shù)據(jù)進(jìn)行理解，以及理解你是如何到達(dá)那里的

如果，試圖在你不了解的數(shù)據(jù)上狩獵，你更有可能傾向于你了解的數(shù)據(jù)，并對(duì)其進(jìn)行可視化，這可能或不可能真正導(dǎo)致有意義和有價(jià)值的狩獵

0x04 威脅狩獵技巧 4：并非所有假設(shè)都會(huì)成功，有時(shí)可能會(huì)失敗。但是不要?dú)怵H，回去再測(cè)試一下

與威脅保護(hù)和威脅檢測(cè)等事情不同，威脅狩獵遠(yuǎn)不是一件肯定的事情。事實(shí)上，威脅狩獵的本質(zhì)意味著你正在尋找未知的事物。正因?yàn)槿绱?#xff0c;所以并不是你狩獵的每一個(gè)假設(shè)都會(huì)成功。事實(shí)上，大多數(shù)獵手都知道，雖然他們可能會(huì)花幾個(gè)小時(shí)，去挖掘他們發(fā)現(xiàn)的兔子洞，但這個(gè)洞更有可能導(dǎo)致一個(gè)使用 PowerShell 的高級(jí)用戶來(lái)節(jié)省一些時(shí)間，而不是一個(gè)想要加密你的域控制器的高級(jí)攻擊者

不要讓這些時(shí)刻，讓你灰心喪氣！記錄你的發(fā)現(xiàn)，不要讓它成為你的負(fù)擔(dān)。記錄你的發(fā)現(xiàn)，不要?dú)怵H，并繼續(xù)狩獵。從長(zhǎng)遠(yuǎn)來(lái)看，它將會(huì)得到回報(bào)

0x05 威脅狩獵技巧 5：了解你的工具集及其數(shù)據(jù)功能，與執(zhí)行你的狩獵同樣重要。如果你沒(méi)有驗(yàn)證工具中是否存在預(yù)期的數(shù)據(jù)，則誤報(bào)就會(huì)潛伏在每個(gè)角落

雖然，在 IT 領(lǐng)域幾乎每個(gè)人都明白，每個(gè)工具和技術(shù)都是不同的，并且都有特定的局限性。但有時(shí)安全人員（尤其是威脅獵手），可能會(huì)認(rèn)為這是理所當(dāng)然的

關(guān)于 “了解你的技術(shù)”，最重要的概念之一是了解它的能力，以及它的局限性是什么。如果你在不了解的情況下貿(mào)然前進(jìn)，很可能會(huì)產(chǎn)生誤報(bào)的結(jié)果，給安全團(tuán)隊(duì)一種錯(cuò)誤的安全感

在建立你的狩獵系統(tǒng)之前，必須測(cè)試和驗(yàn)證你的搜索查詢，以確保它們返回你所期望的結(jié)果，這是至關(guān)重要的

參考鏈接：

https://blog.csdn.net/Ananas_Orangey/article/details/129491146

---

你以為你有很多路可以選擇，其實(shí)你只有一條路可以走

---