Охота за угрозами
Что такое Охота за угрозами?
Охота за угрозамиПроактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
Охота за угрозами — дисциплина, в которой допускают, что компрометация уже произошла, и активно её ищут. Аналитики формулируют гипотезы на основе TTP, разведки или известных слабостей и проверяют их по телеметрии EDR, SIEM, сети и облака. В отличие от реактивной триажи, охота — итеративный и исследовательский процесс; её цель — выявить и активные вторжения, и пробелы в обнаружении, которые затем превращаются в новые автоматизированные правила. Зрелые программы используют методологии вроде PEAK или гипотезо-ориентированные охоты, выровненные на MITRE ATT&CK. Результаты включают отчёты, новые правила и улучшения логирования и видимости.
● Примеры
- 01
Охота на «невозможные перемещения» в логонах Microsoft 365 за последние 30 дней.
- 02
Поиск хостов, где легитимный подписанный бинарь нетипично загружает неподписанную DLL (DLL sideloading).
● Частые вопросы
Что такое Охота за угрозами?
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов. Относится к категории Защита и операции в кибербезопасности.
Что означает Охота за угрозами?
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
Как защититься от Охота за угрозами?
Защита от Охота за угрозами обычно сочетает технические меры и операционные практики, как описано в определении выше.