威胁狩猎
威胁狩猎 AI 协助安全分析师开展主动威胁狩猎活动。它生成狩猎假设、创建搜索查询、分析模式,并引导分析师完成结构化的狩猎工作流。
主要功能
- 假设生成:基于 MITRE ATT&CK 的狩猎假设,针对您的环境量身定制
- 自动化搜索:为您的数据源和时间范围生成搜索查询
- 异常检测:统计和行为分析以识别异常值
- 引导式工作流:带上下文指导的分步狩猎程序
- 知识库:持续更新的 TTP(战术、技术、程序)库
狩猎工作流
1. 假设形成
AI 基于以下内容生成狩猎假设:
- 当前威胁态势和趋势 TTP
- 您组织的行业和威胁概况
- 历史事件和未遂事件
- 威胁情报告警和通告
- MITRE ATT&CK 技术覆盖缺口
2. 数据收集
对于每个假设:
- 识别相关数据源(日志、NDR、EDR、云传感器)
- 生成优化的搜索查询
- 定义时间窗口和范围
3. 分析
狩猎过程中:
- 突出统计异常和行为异常值
- 跨多个数据源关联发现
- 提供来自威胁情报的上下文丰富
- 识别潜在攻击链和横向移动
4. 发现与响应
当发现威胁时:
- 创建详细的发现文档
- 生成用于创建检测规则的 IOC
- 推荐即时响应操作
- 将发现输入集体情报库
狩猎库
按 MITRE ATT&CK 组织的预构建狩猎包:
| 战术 | 示例狩猎 |
|---|---|
| 初始访问 | 异常认证模式、钓鱼活动指标 |
| 执行 | 可疑进程链、脚本执行异常 |
| 持久化 | 注册表修改、计划任务变更、服务安装 |
| 权限提升 | 异常权限授予、令牌操纵指标 |
| 防御规避 | 日志缺口、工具禁用、伪装指标 |
| 横向移动 | 异常 RDP/SMB/SSH 模式、哈希传递指标 |
| 收集 | 异常文件访问模式、数据暂存指标 |
| 数据泄露 | 异常出站数据量、DNS 隧道指标 |
| 命令与控制 | 信标模式、异常加密通道 |
可用性
主动威胁狩猎在 PRO 和 CUSTOM 等级中可用。FREE 和 MDR 等级客户获得自动化检测,但不包括主动狩猎能力。