TTP威胁情报驱动威胁狩猎

文章预览

今天跟大家分享一下专业网络安全厂商如何利用TTP情报狩猎APT。建议大家仔细阅读，否则无法理解其中的精髓！ 术语定义： 1.TTP（战术、技术和程序或过程，Tactics， Techniques， and Procedures），是指攻击者的战术、技术和程序，描述了攻击者"如何"实现其目标。说白了就是攻击者的行为习惯。 2.IoC（入侵指标或失陷指标，Indicators of Compromise），是指在系统或网络中观察到的，可能指示潜在入侵事件的可操作的证据。 3.威胁情报（Threat Intelligence）是关于威胁行为体的基于证据的知识。比如，威胁行为体的行为模式。 作为一家网络安全厂商，我们通常在事件发生后或在网络中发现恶意活动的一些证据后被呼叫。因此，我们得到了一些线索。我们得到了一些我称之为事件响应IoC的东西。 我们得到了一个恶意软件名称、一个恶意软件哈希值。我们可能得到 ………………………………