ToBeWritten之ATTCK 场景实践

也许每个人出生的时候都以为这世界都是为他一个人而存在的，当他发现自己错的时候，他便开始长大

少走了弯路，也就错过了风景，无论如何，感谢经历

转移发布平台通知：将不再在CSDN博客发布新文章，敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持，但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流，我开设了一个知识星球，内部将会提供更深入、更实用的技术文章，这些文章将更有价值，并且能够帮助你更好地解决实际问题。期待你加入我的知识星球，让我们一起成长和进步

汽车威胁狩猎专栏长期更新，本篇最新内容请前往：

[车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门？你必须知道的那些事「7万字详解」

本文内容请忽略… …

0x01 威胁狩猎技巧 1：了解你的环境中什么是正常情况，那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下，跳入威胁狩猎的深渊（这是一个追逐松鼠和兔子，而且收效甚微的方法）。威胁狩猎最终是在一个环境中寻找未知因素的做法，因此，了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

在这里插入图片描述

为了理解环境，请确保你能获得尽可能多的信息，包括网络图、以前的事件报告，以及能得到的任何其他文件，并确保你拥有网络和终端层面的日志，以支持你的狩猎

0x02 威胁狩猎技巧 2：当建立狩猎活动时，根据你的假设，从一般的情况开始，再到具体的情况。通过这样做，可以创建上下文，并了解你在环境中寻找的是什么

当建立狩猎活动时，根据你的假设，从一般的情况开始，再到具体的情况。通过这样做，可以创建上下文，并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时，他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程，具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上，不如先尝试在你的假设中更多地体现出一般的情况。通过这样做，你将更好地塑造你的狩猎，并在此过程中增加额外的上下文信息

0x03 威胁狩猎技巧 3：有时，最好狩猎你了解和知道的事物然后进行可视化，而不是狩猎你专业知识之外的事物，并尝试进行可视化到你知道的事物上

有时，在你了解和知道的事情上狩猎，然后再进行可视化，与在你的专业知识之外的事情上狩猎，并试图可视化到你知道的事情上，效果更好。

新的猎手遇到的最常见的挑战之一是，很容易很快摆脱困境。并不是每个信息安全专业人员，都是所有领域的专家，在威胁狩猎方面也是如此

无论你，是刚开始，还是已经狩猎了一些时间，同样的建议是正确的：狩猎你理解的东西，然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西，并让你对数据进行理解，以及理解你是如何到达那里的

如果，试图在你不了解的数据上狩猎，你更有可能倾向于你了解的数据，并对其进行可视化，这可能或不可能真正导致有意义和有价值的狩猎

0x04 威胁狩猎技巧 4：并非所有假设都会成功，有时可能会失败。但是不要气馁，回去再测试一下

与威胁保护和威胁检测等事情不同，威胁狩猎远不是一件肯定的事情。事实上，威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此，所以并不是你狩猎的每一个假设都会成功。事实上，大多数猎手都知道，虽然他们可能会花几个小时，去挖掘他们发现的兔子洞，但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间，而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻，让你灰心丧气！记录你的发现，不要让它成为你的负担。记录你的发现，不要气馁，并继续狩猎。从长远来看，它将会得到回报