Узнайте все об охотничьих запросах: их принципы, инструменты и методологии. Повысьте уровень кибербезопасности вашей организации с помощью проактивного поиска угроз.
В эпоху постоянно растущих киберугроз традиционных методов защиты уже недостаточно. Охотничьи запросы, или Threat Hunting Queries, становятся ключевым инструментом в арсенале современных специалистов по кибербезопасности. Давайте разберемся, почему они так важны и как их эффективно использовать.
Охотничьи запросы - это специализированные запросы, используемые для проактивного поиска скрытых угроз и аномалий в сети и на устройствах. Они позволяют аналитикам безопасности и охотникам за угрозами идентифицировать, анализировать и устранять потенциальные угрозы, которые могут остаться незамеченными при использовании традиционных систем обнаружения.
Системы управления информацией и событиями безопасности (SIEM) предоставляют мощные возможности для анализа и корреляции данных из различных источников:
Эти платформы обеспечивают глубокий анализ и контекстуализацию угроз:
Решения для обнаружения и реагирования на угрозы на конечных точках:
Открытая база данных тактик, техник и процедур (TTP) киберпреступников. Используется для создания целенаправленных охотничьих запросов.
Модель Lockheed Martin, описывающая стадии кибератаки. Помогает создавать сценарии охоты для каждого этапа атаки.
DeviceProcessEvents
| where Timestamp > ago(1h)
| where InitiatingProcessFileName !in~ ("services.exe", "lsass.exe", "svchost.exe", "wininit.exe", "winlogon.exe", "csrss.exe", "smss.exe", "spoolsv.exe", "explorer.exe", "taskhostw.exe", "taskhost.exe", "conhost.exe", "dllhost.exe", "dwm.exe", "fontdrvhost.exe", "logonui.exe", "lsm.exe", "mmc.exe", "msdtc.exe", "msiexec.exe", "notepad.exe", "powershell.exe", "regsvr32.exe", "rundll32.exe", "services.exe", "taskmgr.exe", "winword.exe", "wscript.exe", "xwizard.exe", "winrm.cmd", "winrs.exe", "winrs.cmd", "winrm.cmd", "winrs.cmd", "winrm.vbs", "winrmconfig.cmd", "winrmconfig.vbs", "winrshost.exe", "winrslegacy.cmd", "winrslegacy.vbs", "winrssettings.cmd", "winrssettings.vbs", "winrscmd", "winrslegacy", "winrsrm", "winrssettings", "winrsrm.vbs", "winrsrm.cmd")
| summarize count() by ActionType, FileName, InitiatingProcessFileName, FolderPath, ProcessCommandLine, AccountName, InitiatingProcessSignatureStatus
| where count_ > 5
Этот запрос помогает выявить подозрительные процессы, запущенные в сети.
DeviceNetworkEvents
| where Timestamp > ago(1d)
| where ActionType == 'ConnectionSuccess'
| where RemotePort == 445 or RemotePort == 3389
| summarize count() by DeviceName, RemoteIP
Данный запрос позволяет обнаружить успешные сетевые подключения через порты, часто используемые для бокового перемещения (SMB и RDP).
Охотничьи запросы - это мощный инструмент в арсенале современных специалистов по кибербезопасности. Они позволяют проактивно выявлять и нейтрализовать угрозы, обеспечивая высокий уровень защиты организации. Интеграция с передовыми платформами, такими как Microsoft Defender, Splunk и решения от Positive Technologies, позволяет создавать гибкие и эффективные стратегии защиты, адаптированные к уникальным потребностям каждой организации.
Готовы повысить уровень кибербезопасности вашей организации? Вот несколько шагов, чтобы начать:
Помните, что эффективная кибербезопасность - это непрерывный процесс. Регулярное использование и обновление охотничьих запросов поможет вам оставаться на шаг впереди киберпреступников.
И мы тоже не спим, чтобы держать вас в курсе всех угроз