killvxk/building-threat-hunt-hypothesis-framework

构建威胁狩猎假设框架

适用场景

• 主动狩猎环境中构建威胁狩猎假设框架的相关指标时
• 威胁情报（Threat Intelligence）表明使用这些技术的攻击活动正在活跃时
• 事件响应（Incident Response）期间确定与这些技术相关的攻击范围时
• EDR 或 SIEM 告警触发相关指标时
• 定期安全评估和紫队（Purple Team）演练期间

前置条件

• 具备进程和网络遥测功能的 EDR 平台（CrowdStrike、MDE、SentinelOne）
• 已接入相关日志数据的 SIEM（Splunk、Elastic、Sentinel）
• 部署了完整配置的 Sysmon
• 已启用 Windows 安全事件日志转发
• 用于 IOC 关联的威胁情报 feeds

工作流程

1. 制定假设：基于威胁情报或 ATT&CK 差距分析，定义可测试的假设。
2. 识别数据源：确定验证或反驳假设所需的日志和遥测数据。
3. 执行查询：针对 SIEM 和 EDR 平台运行检测查询，收集相关事件。
4. 分析结果：检查查询结果中的异常，并跨多个数据源进行关联。
5. 验证发现：通过上下文分析区分真阳性和假阳性。
6. 关联活动：将发现结果链接到更广泛的攻击链和威胁行为者（Threat Actor）TTP。
7. 记录与报告：记录发现结果、更新检测规则并推荐响应措施。

核心概念

| 概念 | 描述 | |------|------| | TA0001 | 初始访问（Initial Access） | | TA0003 | 持久化（Persistence） | | TA0008 | 横向移动（Lateral Movement） | | TA0010 | 数据外泄（Exfiltration） |

工具与系统

| 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 |

常见场景

1. 场景 1：基于 APT 攻击活动报告的情报驱动狩猎
2. 场景 2：ATT&CK 覆盖差距分析驱动的假设创建
3. 场景 3：基于 UEBA 告警调查的异常驱动假设
4. 场景 4：基于行业威胁的态势感知狩猎

输出格式

Hunt ID: TH-BUILDI-[DATE]-[SEQ]
Technique: TA0001
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]