安全管理必备技能｜威胁捕获技术快速指南 – 作者:IBMSecurity

David Bianco 提出的“痛苦金字塔”(Pyramid of Pain)

在何处捕获？

成功的捕获基于环境的“肥沃性”。捕获者通常会利用 SIEM 和 EDR 工具作为捕获的基础。他们还可以使用其他工具（例如数据包分析程序）执行基于网络的捕获。

不过，若要使用 SIEM 和 EDR 工具，需要您环境中的所有核心工具都要集成在一起。这能够确保可以利用攻击指标 (IoA) 和妥协指标 (IoC) 进行捕获。

威胁捕获的类型

结构化捕获。结构化捕获基于 IoA 及攻击者的战术、技术和程序 (TTP)。所有捕获都是基于威胁实施者的 TTP 进行的。因此，即使在攻击者导致环境遭受破坏之前，捕获者通常也能够识别威胁实施者。这种威胁捕获利用的是同时采用了 PRE-ATT&CK 和企业框架的 MITER 对抗策略技术和常识 (ATT＆CK) 框架。

非结构化捕获。非结构化捕获基于触发器启动。它更适合基于情报的捕获，其触发器可能是任何 IoC。这通常是捕获者开始寻找检测前和检测后模式的线索。捕获者的研究最远可以回溯到数据保留和先前相关攻击允许的范围内。捕获者采用的方法便是基于这种研究。

捕获模型

基于情报的捕获。这是一种被动式捕获模型。其输入是来自威胁情报源的 IoC。从这里开始，捕获会遵循由 SIEM 和威胁情报建立的预定义规则。

基于情报的捕获使用由计算机紧急响应小组 (CERT) 等情报共享平台提供的 IoC、哈希值、IP 地址、域名和网络或主机工件。可以从这些平台导出自动警报，然后将其作为结构化威胁信息表达式 (STIX) 和情报信息的可信自动化交换 (TAXII) 输入到 SIEM 之中。一旦 SIEM 获得了基于 IoC 的警报之后，威胁捕获者便可调查警报之前和之后的活动，识别环境中的任何危害。

基于假设的捕获使用攻击者的 IoA 和 TTP。捕获者根据环境、域和攻击行为来识别威胁实施者，而这些要素的作用是根据 MITER 框架创建假设。一旦识别出某个行为，威胁捕获者便会监控活动的任何模式，以检测、识别和隔离威胁。通过这种方式，捕获者能够在威胁实施者对环境造成实际破坏之前主动发现它们。

定制化捕获。该模型以态势感知和基于行业的捕获方法为基础。它能够识别 SIEM 和 EDR 工具中的异常，而且可以根据客户要求进行定制化。

定制化或态势捕获是基于从客户那里收到的要求或根据态势（例如地缘政治问题和针对性攻击）而主动执行的。这些捕获活动可以利用 IoA 和 IoC 信息，依靠基于情报和假设的捕获模型。

捕获框架

组织可以使用的威胁捕获框架有很多。其中最受欢迎的两个框架是：

集成了威胁情报的针对性威胁捕获框架。这种框架与基于情报的捕获保持一致。触发器来自于威胁情报、历史事件、红色团队活动和其他来源。

MITER PRE-ATT&CK 和ATT&CK 框架。这些框架具有一个知识库，可用于攻击者采用的特定威胁模型和方法。

适当地使用这些方法和资源的组合，可以为威胁捕获团队提供一个与威胁实施者对抗的坚实基础。

以 SIEM日志分析为核心，为安全团队提供快速而精准地安全态势感知、内部和云环境威胁检测、安全风险评估，帮助理清威胁主次、展开调查并积极应对所需的可视性和分析技术。

IBM Qradar 可通过咨询和管理服务来实现增强，以帮助执行威胁管理计划、策略管理和提高安全人员能力。以日志分析为核心功能的 SIEM，可以为安全团队提供快速而精准地安全态势感知能力，实现快速的内部和云环境威胁检测和安全风险评估，帮助企业理顺威胁事件的主次顺序，还可以借助可视化和分析技术快速展开调查。

快速了解IBM QRadar，实现企业内外部威胁的快速捕获。