威胁猎捕篇(Cyber Threat Hunting)

Cyber Threat Hunting，应该是可以翻译威胁猎捕或是威胁狩猎、内部入侵行为分析吧。

对「我」来说这是一个很微妙的一个领域(?!
因为看过一些Threat Hunting相关的文章、或是听过一些演讲的分享，
还有参加了资安大会时奥义智慧开的Lab，有接触了一下他们的产品。

经常都觉得Threat Hunting，
对我来说是一个近在咫尺，却又远在天边的东西。
我自己主要熟悉是渗透测试，平常也都会看许多的资安新闻与事件。
Threat Hunting当中的各项名词或是流程，乍看之下我都觉得不陌生，
可是实际上真要开始做，或是该怎麽着手分析，却又几乎都是没有概念。

至於职缺来说，我自己是不确定是否会有Threat Hunting直接相关的职缺，
但是台湾的确有不少公司都有发展或是代理Threat Hunting相关的产品，
或是该有该性质产品的公司，里面的资安研究员应该会需要具备相关知识吧（我猜der

今天内容也是一样在网路上东翻西找的零碎文章中拼凑而成的。

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麽是威胁狩猎（Cyber Threat Hunting）？（以下简称TH）

是一种主动式的防御策略与技术，利用一些资讯蒐集、威胁情报，来去掌握可能存在的攻击者与攻击行为，并且进一步去阻止或是预防这些风险的发生。并且这些可能的攻击行为，通常是传统的防御设备无法侦测与阻挡的。

2.SOC跟TH有甚麽区别？

SOC是被动式的防御，主要在於进行日常的监控与警报，还有如何处理所遇到的各种事件；而TH则是主动式的防御，TH可以基於一些数据、情报及线索，在没有警报的情况下，提前掌握可能的攻击以及威胁。

3.TH有甚麽好处？

先发制人（？，不要等到事件发生才处理。并且有些恶意网域、恶意攻击、APT，可能是传统防火墙、入侵侦测系统(IDS/IPS)、防毒软件无法成功侦测防御的，可以利用TH来达成预防。

4.描述一下TH的流程

监控 -> 筛选 -> 调查&A追踪 -> 回馈

参考奥义智慧先前资安大会的一份简报
https://s.itho.me/ccms_slides/2021/5/18/7f7294fc-1819-405b-a082-756cf93dafad.pdf

5.甚麽是IOC威胁指标

算是网路攻击或是恶意行为发生的证据指标(?，可以透过已知的IoC来去检测、预防恶意行为与攻击。

6.甚麽是STIX及TAXII

是基於XML格式协助组织之间达到共享情报资源的一种标准化语言。

7.你觉得TH需要甚麽样的基础知识与技能？

基本的网路知识
了解攻击手法(例如熟悉ATT&CK框架)
分析数据的能力
...

8.甚麽是威胁情报？

包含像是资安事件、漏洞、OSINT(公开情报)、或是像暗网上的未公开情报都算。

9.威胁情报当中的痛苦金字塔（pyramid of pain）是甚麽？

可以协助了解那些特徵或是情报，对於猎捕攻击者最有价值。或者是反过来说，知道那些恶意特徵，对於防守人员来说是更有利的。

10.描述一下你知道的常用的威胁追踪技术？

Searching／Clustering／Grouping／Stack Counting

11.你有用过甚麽样的TH工具或产品？

12.你觉得工具或产品当中需要具备甚麽样的特徵或功能

抱歉今天内容比我想像中的少QQ
因为睡太晚，待会要出门(不知道几点才回来)，
时间仓促的情况下，没办法好好花费时间好好写完。
今天就这样了！

若有要补充也都欢迎留言