あゝ素晴らしきHunting Life

Threat Hunting・マルウェア解析・フォレンジック・CTFなどを発信予定

続Threat Hunting

フレームワーク

Threat Huntingで使用するフレームワークは、主に下記の4つがあります。

  1. The Hunting Loop
  2. The Hunting Maturity Model
  3. Cyber​​ KillChain
  4. Endgame Hunt Cycle

今回はThe Hunting Loopを紹介します。

 1.The Hunting Loop

Sqrrl社が作成したThreat Huntingを効率的に行うためのフレームワーク

f:id:momomomopas93:20180831201101p:plain

引用:A Framework for Cyber Threat Hunting より

  • Hypothesis Generation

Threat Huntingは仮説を立てるところからスタートします。

例:マルウェアC2を示す可能性があるHTTPビーコンがあるのではないか?

  • Tool and Technique Enabled Investigation

リンクされたデータ解析や視覚化などのさまざまなツールや手法を使って仮説を調べます。

例:HTTPプロキシログを視覚化してHTTPビーコンがあるか調査する。

  • Pattern and TTP Discovery

新しい悪意のある行動パターンや敵対的なTTPを明らかにする。

例:同じソースIPによる同じリソースへのリクエスト間のリクエスト内のリクエスト時間を調べ、結果を視覚化することで、通常のアクティビティのパターンを探す。

  • Analytics

脅威を発見するためのテクニックを見つけたら、アナリティクスを使用して自動化し、チームが次の新しい狩猟に引き続き集中できるようにします。

参考

Detecting malware beacons using Splunk | geekery