CTO Plus技术服务栈

威胁狩猎系统(THS)

我们的 THS 系统不依赖告警,而是让安全分析师主动在环境中寻找隐藏的威胁——那些绕过了所有安全设备、潜伏了数月甚至数年的高级持续性威胁(APT)。

Created:

安全圈有一个残酷的事实:攻击者的平均潜伏期是 200+ 天。也就是说,攻击者进入你的网络后,平均要过 200 多天才被发现。威胁狩猎的目的就是不依赖告警,主动去把这些”安静的潜伏者”找出来。

1. 假设驱动的狩猎

  • ATT&CK 框架集成:基于 MITRE ATT&CK 的技战术矩阵构建狩猎假设
  • 假设管理:假设库、假设优先级、假设验证状态
  • 假设示例:“攻击者通过钓鱼邮件获取了凭证,正在使用 RDP 横向移动”
  • 假设→数据查询→结果分析→结论,标准化狩猎流程

2. 大数据查询引擎

  • 海量数据秒级查询:TB 级的终端日志、网络流量、身份认证日志
  • 自然语言查询:像聊天一样描述你要找什么
  • 可视化查询构建器:拖拽式构建复杂查询条件
  • 查询模板库:预置 100+ 常见狩猎场景的查询模板

3. 异常检测

  • 行为基线:自动学习每个用户、每台主机的正常行为模式
  • 异常行为检测:偏离基线的行为自动标记
  • 罕见事件:全网只有 1 台机器出现的进程、连接、DNS 查询
  • 时间异常:凌晨执行的命令、周末的大量数据传输

4. IOC 狩猎

  • 多源 IOC 导入:威胁情报平台、ISAC、商业情报
  • IOC 批量匹配:IP、域名、Hash、URL、邮箱在全量日志中批量搜索
  • IOC 有效期管理:IOC 的时效性管理,过期 IOC 自动降权
  • IOC 命中分析:命中了什么、在哪个环节、影响范围

5. 狩猎协作

  • 狩猎任务管理:创建任务、分配猎人、跟踪进度
  • 发现记录:每次狩猎的发现、截图、日志片段
  • 同行评审:狩猎结果需要另一位猎人复核
  • 狩猎知识库:成功狩猎的经验和方法论沉淀

6. 狩猎到检测的转化

  • 发现→规则化:狩猎发现的新攻击模式→转化为 SIEM/EDR 检测规则
  • 规则回测:新规则在历史数据上回测,看看能发现多少历史遗漏
  • 检测覆盖率:ATT&CK 框架中哪些技战术我们有检测能力?
  • 检测盲区分析:哪些技战术是我们完全检测不到的?