当一种新的威胁行为技术出现时--无论是来自研究博客、情报信息还是突发新闻--每个威胁猎手都会本能地进入假设模式。我的环境中会出现这种情况吗?噪音中是否隐藏着早期信号?
以最近的 TOLLBOOTH 研究为例。在 Elastic Security Labs公布攻击链的那一刻,分析师可能就开始根据描述的具体技术形成假设,例如
- 使用完整的遥测技术重新检查历史上冻结或存档的 IIS 服务器日志时,是否显示出任何异常?
- 是否有迹象表明任何 IIS 服务器上存在凭证转储或权限升级企图?
这就是 "假设驱动狩猎 "的精髓所在;从正在发展的威胁入手,迅速提出有针对性的问题。这是领先新出现的攻击的最有效方法之一,但它需要广泛的可见性和能够跟上您的好奇心的工具。
然而,许多 SOC 团队的实际情况并非如此。他们面临着数据孤岛、有限的搜索能力和人工关联的疲劳。
Elastic Security 旨在通过快速、大规模地实现假设驱动的威胁捕猎,从而消除这些障碍。通过统一安全遥测并实现跨集群分析,威胁猎手可以在所有数据中提出复杂的问题、关联信号并快速验证假设,而无需手动拼接数据。
这种能力是通过一套相互配合的基础模块来实现的:
-
代理工作流可以分流警报,而以知识为基础的人工智能助理可以生成经过验证的 ES|QL 查询,推动修复工作,并推荐下一步措施。
-
弹性安全实验室将持续更新的威胁研究和对手洞察直接引入检测和调查。
-
根据真实世界的攻击技术和狩猎场景提供开箱即用的检测规则。
-
实体分析可关联用户、主机和服务,分配风险分数,并显示异常情况,从而丰富每项调查。
-
机器学习和异常检测可发现偏离正常行为的情况,并揭露未知或新出现的威胁。
-
通过 ES|QL、可视化和跨集群搜索,可在分布式环境中实现快速、富有表现力的查询、直观的分析和无盲点的无缝狩猎。
这些构件共同为安全团队提供了所需的速度、规模和分析深度,使其能够从被动调查转变为自信、主动地猎取威胁--在单一、统一的 Elastic Security 平台中测试所有数据的假设。
进入森林在现实世界中寻找 LOLBins
本节通过一个以 "离陆二进制文件"(LOLBins)为重点的真实场景,展示了威胁猎捕在实践中是如何进行的,从一个空的搜索栏到一个已确认和控制的威胁。
使用由 RAG 驱动的人工智能助理构建您的假设
您甚至可以在撰写一份查询之前就开始调查。您可以使用 Elastic 的检索增强生成 (RAG) 驱动的人工智能助理来获取可信的知识源,如 Elastic 安全实验室的研究,并为您的假设奠定基础。您可以添加任何可信来源作为知识来源,以确保助手反映您所依赖的数据。
如果您还没有具体的目标,可以询问助理、
"根据目前的趋势,我今天应该以什么假设开始我的狩猎?"助理扫描配置的知识库,提供相关背景,并直接生成主要假设以及支持理由和证据。在这种情况下,Elastic Security Labs 的内容已被添加到知识库中,以提供上下文。
坐等人工智能助理为您创建量身定制的威胁猎取查询
一旦您接受 LOLBin 假设,人工智能助理就会根据您的环境生成精确的 ES|QL 威胁狩猎查询。您无需从头开始编写复杂的语法,而是会收到旨在显示特定可疑行为的定向搜索。
为确保查询可随时运行,Elastic AI Assistant 使用代理工作流,根据人类提供的用例生成定制的 ES|QL 查询。它利用你的弹性集群数据来制作准确、可随时运行的响应,并在返回最终查询之前执行自动验证。这种后台验证消除了人工排除故障的需要,可提供经过验证、随时可用的查询,并可直接从人工智能助手调入调查时间线。
或者,您也可以将 Elastic威胁猎取查询的GitHub 资源库链接到助手的知识库,将现有查询作为下一步工作的基准。
利用 ES|QL 猎杀整个环境中的威胁
如果您管理的是全局环境,并需要确定其他群集是否也有此活动,您可以要求人工智能助理将查询调整为跨群集搜索 (CCS),从而扩展您的假设。这使您能够在环境中跨多个集群进行搜索,包括冻结数据和长期数据,而不会中断调查工作流程。
从人工智能助手无缝过渡到时间线视图并运行查询。这种有针对性的搜索发现了一个重要发现:一个rundll32.exe实例正在以gbadmin用户账户*.*在主机名为elastic-defend-endpoint的 Windows 服务器上执行。
通过分析和可视化增加背景信息
找到攻击只是第一步,现在必须确定这是管理员在进行维护还是真正的攻击。验证您的想法需要对主机和用户进行深入分析。向下钻取受影响的主机,就会进入实体详细信息。
在这里,你看到的不仅仅是一个主机名。您可以在一个地方看到主机的风险评分、导致该评分的特定警报以及资产的关键性的综合视图。通过汇集检测信号、行为异常和资产重要性,Elastic 的实体风险评分可帮助分析师快速了解资产存在风险的原因、威胁的紧迫性以及首先应关注的重点。这种统一的上下文缩短了调查时间,最大限度地减少了猜测,并能在大容量环境中自信地确定优先级。
利用机器学习确认异常情况
当您检查风险评分时,支持证据会显示在旁边。您可以看到导致风险分数升高的具体警报,包括中等严重性警报和"异常 Windows 路径活动 "等机器学习 (ML) 警报。
由于人工智能非常适合检测静态规则经常忽略的细微偏差,因此,看到人工智能警报为风险评分做出贡献,有助于验证这种活动并非噪音,而是指向有意义的行为异常。
事件细节可立即直观地显示流程脉络,并在面板上显示关键证据。这些见解将你的假设从似是而非转变为可以证明。
采取行动:从洞察到响应
通过发现可疑活动验证假设后,下一步就是立即采取应对措施。Elastic Security 可让响应者直接从调查中采取行动,而无需切换平台。
一旦确认主机被入侵,就可以通过控制台采取行动,隔离主机以防止横向移动,或终止在LOLBIN 搜索中发现的恶意进程树。这种从调查到应对的无缝衔接可以利用相同的工具和背景迅速遏制事件。
查询操作化和狩猎自动化
为了实现未来搜索的自动化并消除对重复出现模式的手动验证,您可以直接将查询导入可运行的检测规则,或针对特定行为、异常或首次出现的新术语值创建规则,并只需单击一下即可将其转换为完全可运行的检测规则。
在企业环境中,LOLBin 猎杀会迅速产生大量警报。这就是 "代理攻击发现 "大显身手的地方。其主要目的是通过自动关联信号并突出显示需要立即关注的活动,帮助您有效地进行分流。
您还可以对与狩猎相关的警报进行分组和标记,并专门针对这些警报集运行 "攻击发现 "功能,以发现有意义的模式。这种灵活性使 Attack Discovery 不仅在自动预警分流方面,而且在先进的假设驱动型威胁狩猎工作流方面都具有重要价值。
额外奖励:使用弹性代理生成器实现自动化
想象一下,建立一个LOLBin Hunter 定制代理,专门用于在安全数据中搜索 LOLBin 活动。使用弹性代理生成器,您可以创建由 LLM 驱动的代理,并为其配备人工工作流程中使用的 ES|QL 查询等工具。
配置完成后,您可以使用自然语言与您的安全数据进行交互,代理将对您的请求进行推理,选择最相关的工具并采取行动。例如,您可以询问:"向我展示引发机器学习异常的 LOLBin 活动,并总结受影响的主机及其风险评分"。
利用弹性安全功能,在新出现的攻击面前保持领先
以假设为导向的威胁猎取对于在现代攻击面前保持领先至关重要,但如果没有正确的工具,可能会变得复杂而耗时。Elastic Security 将人工智能辅助调查、ES|QL 搜索、上下文分析、机器学习和集成响应结合在一起,使每个阶段都变得更简单、更快捷。
从新威胁出现到可采取应对措施,Elastic 使分析人员能够发现隐藏的信号、验证他们的假设并采取果断行动--将原始数据转化为情报,将情报转化为行动。
有兴趣了解有关弹性安全的更多信息?浏览我们的网络研讨会、活动等,或立即开始免费试用。