تکنیک هایی که شما به عنوان یک شکارچی استفاده می کنید تنها بخشی از طرح ریزی یک فرآیند شکار است. اما شما به عنوان یک شکارچی تهدید مادامی که داده های حقیقی و درست در اختیار نداشته باشید نمی توانید شکار کنید. اما داده های حقیقی و درست چه داده هایی است؟ پاسخ به این سوال وابسته به موضوع و یا موردی است که به دنبال شکار آن هستید اما در ادامه فهرست کلی از داده های مناسب برای شکار و فعالیت های امنیتی ذکر شده است.

  • داده های سطح میزبان[۱]
  1. متاداده اجرای پردازه

شامل اطلاعاتی راجع به اجرای پردازه ها روی میزبان های خاص است. متاداده های مهم و حیاتی مربوط به اجرای پردازه ها دستورات و آرگومان آنها، نام فایل های هر پردازه و همچنین شناسه آن پردازه است.

۲. داده های دسترسی به رجیستری 

داده های مرتبط با آبجکت های رجیستری شامل متاداده مقدار و کلید رجیستری است.

۳. داده فایل

اطلاعاتی راجع به فایل های ذخیره شده روی میزبان جاری است. این اطلاعات می تواند شامل زمان ایجاد فایل، زمان دستکاری فایل همچنین اندازه، نوع و اطلاعات مربوط به مکان ذخیره سازی فایل باشد.

۴. داده پردازه های شبکه ای

اطلاعات مربوط به پردازه والد برای یک ارتباط شبکه است. به بیان دیگر اطلاعات پردازه ای که ارتباط شبکه ای برقرار کرده است.

۵. شیوع فایل

اطلاعاتی راجع به میزان استفاده یا میزان شیوع فایل در محیط مورد بررسی است.

  • داده های شبکه
  1. داده نشست های شبکه

حاوی اطلاعاتی راجع به اتصالات شبکه ای بین میزبان ها است. داده های بسیار مهم مربوط به اتصالات شبکه  شامل آدرس IP مبدا و مقصد، پورت مقصد، زمان شروع، پایان و مدت ارتباط، است. علاوه بر این، داده های نشست شبکه می تواند شامل داده هایی نظیرNetflow، IPFIX و موارد مشابه باشد.

۲. لاگ پراکسی

لاگ پراکسی حاوی اطلاعاتی نظیر درخواست های وب خروجی و منابع اینترنتی که کلاینت ها به آن دسترسی دارند، است.

۳. لاگ DNS

حاوی اطلاعاتی مربوط به درخواست و پاسخ DNS نظیر اطلاعات نگاشت دامنه به آدرس IP و هویت کلاینت های داخلی که درخواست تبدیل نان داشته اند، است.

۴. لاگ فایروال

حاوی اطلاعاتی راجع به ترافیک ورودی و خروجی به شبکه (لبه شبکه) و به طور خاص ارتباطات  مسدود شده است.

۵. لاگ سوئیچ و روتر

حاوی لاگ Netflow داخلی (غیر از لبه شبکه) که نشان می دهد چه ترافیکی در داخل شبکه و در پشت دستگاه های امنیتی موجود در لبه شبکه وجود دارد.

  • داده های امنیتی
  1. Threat Intelligence

واژه Threat Intelligence به یک دسته وسیع از اطلاعات شامل نشانه ها، تکنیک ها، تاکتیک ها و رویه های مورد استفاده مهاجمان، اطلاق می شود. این دسته وسیع همچنین شامل مواردی نظیر اقدامات و کمپین های مربوط به حوزه امنیت سایبری نیز است.

۲. هشدارها

منظور اعلان ها یا هشدارهای خودکار که توسط موتورهای همبسته سازی نظیر SIEM یا IDS تولید شده که نشان دهنده نقص یک یا چند قانون[۲] به خصوص یا تشخیص الگوهای تهدید مشخص است که می تواند نشان دهنده یک رخداد احتمالی باشد.

۳. Friendly Intelligence

واژه Friendly Intelligence به یک دسته وسیع از اطلاعات راجع به زیرساخت IT یک سازمان، اکوسیستم امنیتی آن، دارایی های حیاتی، اطلاعات کارمندان و فرآیندهای تجاری است. این اطلاعات به شکارچیان تهدید کمک می کند تا محیطی (سازمان) که در آن در حال شکار تهدید هستند را بهتر درک کنند و بررسی های خود را به صورت متمرکز تر و مرتبط تر انجام دهند.

[۱] Endpoint Data

[۲] Rule

دسته‌ها: متفرقه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *