ToBeWritten之基于ATTCK的运营流程与实践

news2024/12/23 18:41:42

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历


转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持,但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流,我开设了一个知识星球,内部将会提供更深入、更实用的技术文章,这些文章将更有价值,并且能够帮助你更好地解决实际问题。期待你加入我的知识星球,让我们一起成长和进步


汽车威胁狩猎专栏长期更新,本篇最新内容请前往:

  • [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」

本文内容请忽略… …

0x01 威胁狩猎技巧 1:了解你的环境中什么是正常情况,那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。 威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

在这里插入图片描述

为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件报告,以及能得到的任何其他文件,并确保你拥有网络和终端层面的日志,以支持你的狩猎

0x02 威胁狩猎技巧 2:当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时,他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程,具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上,不如先尝试在你的假设中更多地体现出一般的情况。通过这样做,你将更好地塑造你的狩猎,并在此过程中增加额外的上下文信息

0x03 威胁狩猎技巧 3:有时,最好狩猎你了解和知道的事物然后进行可视化,而不是狩猎你专业知识之外的事物,并尝试进行可视化到你知道的事物上

有时,在你了解和知道的事情上狩猎,然后再进行可视化,与在你的专业知识之外的事情上狩猎,并试图可视化到你知道的事情上,效果更好。

新的猎手遇到的最常见的挑战之一是,很容易很快摆脱困境。并不是每个信息安全专业人员,都是所有领域的专家,在威胁狩猎方面也是如此

无论你,是刚开始,还是已经狩猎了一些时间,同样的建议是正确的:狩猎你理解的东西,然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西,并让你对数据进行理解,以及理解你是如何到达那里的

如果,试图在你不了解的数据上狩猎,你更有可能倾向于你了解的数据,并对其进行可视化,这可能或不可能真正导致有意义和有价值的狩猎

0x04 威胁狩猎技巧 4:并非所有假设都会成功,有时可能会失败。但是不要气馁,回去再测试一下

与威胁保护和威胁检测等事情不同,威胁狩猎远不是一件肯定的事情。事实上,威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此,所以并不是你狩猎的每一个假设都会成功。事实上,大多数猎手都知道,虽然他们可能会花几个小时,去挖掘他们发现的兔子洞,但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间,而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻,让你灰心丧气!记录你的发现,不要让它成为你的负担。记录你的发现,不要气馁,并继续狩猎。从长远来看,它将会得到回报

0x05 威胁狩猎技巧 5:了解你的工具集及其数据功能,与执行你的狩猎同样重要。如果你没有验证工具中是否存在预期的数据,则误报就会潜伏在每个角落

虽然,在 IT 领域几乎每个人都明白,每个工具和技术都是不同的,并且都有特定的局限性。但有时安全人员(尤其是威胁猎手),可能会认为这是理所当然的

关于 “了解你的技术”,最重要的概念之一是了解它的能力,以及它的局限性是什么。如果你在不了解的情况下贸然前进,很可能会产生误报的结果,给安全团队一种错误的安全感

在建立你的狩猎系统之前,必须测试和验证你的搜索查询,以确保它们返回你所期望的结果,这是至关重要的

参考链接

https://blog.csdn.net/Ananas_Orangey/article/details/129491146


你以为你有很多路可以选择,其实你只有一条路可以走


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/970864.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Mysql底层数据结构为什么选择B+树

索引底层采用什么数据结构,为什么使用B树而不是其他数据结构: (1)如果采用二叉树:使用递增字段作为索引时,二叉树会退化成链表,查找效率太低 (2)如果采用红黑树&#xf…

2023年新风口,Kwai快手海外公会入驻详细指南!

Kwai快手海外公会发展前景作为中国短视频市场的领头羊,Kwai快手在海外市场也取得了一定的成绩。但是,海外市场的发展前景还存在一些不确定因素,需要快手进一步探索和努力。首先,海外市场对于内容的申请找cmxyci要求与国内市场有所…

系统学习Linux-zabbix监控平台

一、zabbix的基本概述 zabbix是一个监控软件,其可以监控各种网络参数,保证企业服务架构安全运营,同时支持灵活的告警机制,可以使得运维人员快速定位故障、解决问题。zabbix支持分布式功能,支持复杂架构下的监控解决方…

ZLMeidaKit在Windows上启动时:计算机中丢失MSVCR110.dll,以及rtmp推流后无法转换为flv视频流解决

场景 ZLMediaKit在Windows上实现Rtmp流媒体服务器以及模拟rtmp推流和http-flv拉流播放: ZLMediaKit在Windows上实现Rtmp流媒体服务器以及模拟rtmp推流和http-flv拉流播放_zlm流媒体服务器_霸道流氓气质的博客-CSDN博客 按照以上教程启动MediaServer.exe时提示&am…

新上线:爱校对的PDF校对工具,专为专业人士设计

在这个信息爆炸的时代,准确和专业的信息交流比以往任何时候都更为重要。专业人士,无论是律师、医生、研究人员还是企业高管,都依赖于高质量的PDF文档来进行准确无误的沟通。但是,校对这些文档常常是一个既耗时又容易出错的任务。这…

智汇云舟携三大自研产品体系亮相服贸会

9月2日,2023年中国国际服务贸易交易会在北京开幕。在电信、计算机和信息服务专题展馆中,北京智汇云舟科技有限公司(以下简称智汇云舟)携视频孪生场景化一体机、视频孪生能力平台、视频孪生行业解决方案三大自研产品体系亮相服贸会…

android studio 的 adb配置

首先在 Android Studio 中 打开 File -> Settings: 下载 “Google USB Driver” 这个插件 (真机调试的时候要用到), 并且记一下上面的SDK路径: 右键桌面上的 “我的电脑”, 点击 “高级系统设置”, 配置计算机的高级属性, 有两步: 添加一个新的环境变量 ANDROID_HOME, 变量…

【教学类-36-06】20230707动物面具-正方形(midjounery-niji)(涂色、裁剪、镂空剪、实用性研究(怎样贴在脸上))

作品展示 1、使用15:15CM彩色手工纸打印(25*25的纸超过21CM的边,打印机放不下), 2、打开选择CAJ阅读器 3、纸张放在纸屉内,用三个架子缩小页面 4、哎,大不了,换不了纸 一、利用midjounery获…

比特币再起风波!

今日荐读:9.2教链内参《马斯克收购推特背后鲜为人知的故事》。刘教链Pro《激辩:比特币究竟算不算财产?》。 * * * 刘教链 原创 * * * 经历过2017-2018年BCH硬分叉战争的人应当还对当年的血雨腥风心有余悸。当然,对于一战之后进场…

C#学习系列之UDP同端口收发问题

C#学习系列之UDP同端口收发问题 前言解决办法关于JoinMulticastGroup总结 前言 想测试自己的程序问题,建立了两个UDP程序,一个往端口中接到数就传出去,另一个从这个端口接数据来解析。 出现的问题是 每次打开端口,另一个程序就无…

Applovin股价飞涨,同场竞技的汇量或将拿到相同剧本

全球化、跨行业投资是对冲投资风险、实现超额收益的重要方式。若论什么行业在全球化投资中入门最简单,那一定是互联网。APP、游戏人人都能接触,轻松解决了对商业门槛的理解问题,所有的增长价值一清二楚。 但互联网作为一个看起来非常成熟的行…

领跑车载5G/V2X模组市场,移远通信又获大奖

汽车行业的智能化、网联化发展,离不开车载模组的支撑,作为车联网的重要组成部分,5G、V2X等技术的发展和应用对智能网联汽车的不断升级有着重要的推动意义,受到了业界的广泛关注。 8月31日,在2023高工智能汽车行业评选颁…

【ProxMox7.2】创建win10虚拟机

创建win10虚拟机 1.创建虚拟机2.操作系统3.系统4.磁盘5.CPU设置6.内存7. 网络8.确认9. 安装 1.创建虚拟机 名字随便命名 2.操作系统 这里选择自己ios版本选择 2008r2类型 选择windows 3.系统 机型选择默认i44fxscsi控制器选择Virtio Scsi 4.磁盘 这里存储选择自己大的一…

【Day-28慢就是快】代码随想录-二叉树-平衡二叉树

给定一个二叉树,判断它是否是高度平衡的二叉树。 本题中,一棵高度平衡二叉树定义为:一个二叉树每个节点 的左右两个子树的高度差的绝对值不超过1。 思路 求深度可以从上到下去查 所以需要前序遍历(中左右) 而高度只能…

pmp和软件高项哪个含金量高?

人们常将PMP和高项放在一起比较,因为这两种证书都适用于项目经理职位,它们有高达60%的知识点重合度。在决定考哪一种证书之前,人们常常会感到困惑。 下面看一下pmp和软考高项的差异。 发证机构不同 PMP(Project Management Professional)是…

【VL tracking】Towards Unified Token Learning for Vision-Language Tracking

不知道什么原因学校认证账号进不去,下载不了最新的PDF 广西师范大学 | 国科大 | 厦大 代码开源 zhihu指路👉【VL tracking】MMTrack阅读 问题 一方面,传统的VL tracking方法需要昂贵的先验知识。例如,一些tracker是专门用于bou…

单片机简介

目录 1、单片机 2、CISC和RISC 3、 冯诺依曼结构和哈佛结构​编辑 1、单片机 单片机:Single-Chip Microcomputer,单片微型计算机,是一种集成电路芯片 ------------------------------------------------------------ 电脑&#xff1a; <--------> …

Redis从基础到进阶篇(三)----架构原理与集群演变

目录 一、缓存淘汰策略 1.1 LRU原理 1.2 案例分析 1.3 Redis缓存淘汰策略 1.3.1 设置最⼤缓存 1.3.2 淘汰策略 二、Redis事务 2.1 Redis事务典型应⽤—Redis乐观锁 2.2 Redis事务介绍 2.3 事务命令 2.3.1 MULTI 2.3.2 EXEC 2.3.3 DISCARD 2.3.4 WATCH 2.3.5 UNW…

Cesium 上展示点的坐标

文章目录 需求一需求分析 需求二需求分析 需求一 需求 Cesium 中绘制点并在点上添加该点的坐标 分析 在Cesium中&#xff0c;可以使用以下代码来显示指定点的坐标&#xff1a; //定义点的坐标 var position Cesium.Cartesian3.fromDegrees(longitude, latitude, height)…

QML配置启用 QML编译

简述 常规情况下 QML 是解释执行的&#xff0c;为了加快启动速度&#xff0c;官方开发了 QML 编译器&#xff0c;支持编译到 C。 用法 在 pro 文件添加配置,使其生效 CONFIG qtquickcompiler添加后可以看到编译的中间文件有变化&#xff0c;上边是未配置编译 QML&#xff…