在网络安全领域,威胁狩猎的过程是通过不断监测网络流量和系统日志,发现和追踪潜在的威胁,并且在它们变成真正的攻击前进行干预。威胁狩猎可以有效地降低网络攻击的成功率,并且使得企业在发现威胁时能够更快地做出反应。
在威胁狩猎中,有一个非常有用的概念是“First Seen, Last Seen”(FSLS),这个概念常常被用于UEBA类安全产品中。它可以帮助安全团队快速地定位网络上的威胁,并且为进一步的分析提供有价值的信息。
FSLS一般指的是一个威胁第一次出现的时间和最后一次出现的时间,这个概念可以应用在许多不同的情境和针对不同威胁数据实体,例如使用傅里叶变换计算判断C2连接的抖动周期。
FSLS也可以是一个特定的IP地址或者域名,或者是一个恶意文件在安全视野内首次和最后一次被查杀、拦截或发现的时间。在威胁狩猎中,FSLS可以用来确定某个威胁的活跃时间窗口,这样安全团队可以更加有效地分析和应对威胁。
对于一个未知的安全威胁,安全团队可以使用FSLS来确定它的活跃时间窗口,然后在这个时间段内分析系统日志和网络流量,更加深入的进行调查。例如在基于规则的安全系统中,如果一个IP地址、域名、恶意文件的行为触发规则后,那么基于规则的安全系统会将IP地址或者域名加入黑名单自动阻止这个流量。然而,如果一个黑名单中的IP地址、域名、恶意文件的FSLS非常短,那么这可能意味着它是一个新的威胁,需要被进一步地调查。在这种情况下,基于规则的安全系统可以自动将这个IP地址、域名、恶意文件添加到一个特殊的监视列表中,以便安全团队进一步地调查。
在实践中,FSLS可以通过多种方式进行计算。简单的方法是在系统日志或者网络流量中搜索特定的IP地址或者域名,并且记录它们第一次和最后一次出现的时间。当然,另一种更高级的方法是使用专门的安全工具来实现FSLS的计算。这些工具可以自动地监测网络流量和系统日志,并且计算不同数据实体的FSLS。一些工具还可以将FSLS与威胁情报进行关联,以提供更加全面的威胁狩猎功能。
尽管FSLS是一个非常有用的概念,但它并不是完美的。例如,一些威胁可能采用周期性的方式进行活动,这意味着它们的FSLS可能会有所不同。此外,一些威胁可能会使用大量不同的IP、域名进行活动,针对这种威胁行为的FSLS就无法精确地计算,需要扩维、关联、聚合和收敛更多的数据实体进行FSLS计算,例如指纹、进程、资产和账号等。
在网络安全领域,威胁狩猎是一个不断发展的领域,需要不断地引入新的技术和方法来提高效率和准确性。总的来说,FSLS是一个非常有用的工具,可以帮助安全团队更加高效地进行威胁狩猎。
