Korzystanie z MITER ATT & CK ™ w polowaniu i wykryciu zagrożeń

Polowanie na zagrożenie to proces proaktywnego wyszukiwania złośliwego oprogramowania lub atakujących mieszkających w Twojej sieci. Ogólnie akceptowana metoda jest wykorzystanie rozwiązania informacji o bezpieczeństwie i zarządzaniu zdarzeniami (SIEM), które centralnie zbiera dane dziennika z różnych źródeł - punktów końcowych, serwerów, zapór ogniowych, rozwiązań bezpieczeństwa, antywirusowego (AV) i innych - zapewniania widoczności w sieci, punkcie końcowym, punkcie końcowe, oraz aktywność aplikacji, która może wskazywać na atak. W tej białej księdze omówimy minimalny zestaw narzędzi i wymagania danych, których potrzebujesz do udanego polowania na zagrożenie. Weźmy pod uwagę, że podczas gdy niektórzy czytelnicy mogą poświęcić większość czasu na polowanie na zagrożenie, podobnie jak większość, masz ograniczony czas i zasoby na tę działalność. Dobrą wiadomością jest to, że polowanie na zagrożenie jest elastyczne i każdy może to zrobić, niezależnie od tego, czy spędzasz zaledwie kilka godzin tygodniowo do pełnego etatu.