روشهای تحلیل داده با رویکرد کشف تهدیدات (Threat Hunting)✍
روشها و تکنیکهای مختلفی برای تحلیل داده و به خصوص لاگ با رویکرد کشف یا اصطلاحا شکار تهدید (Threat Hunting) وجود دارد که در این پست به برخی از شناخته شدهترین آنها پرداخته میشود. این روشها به چهار دسته کلی زیر تقسیم شدهاند.
روش اول – جستجوی ساده (Searching)
جستجو یا Searching به عنوان سادهترین روش برای شکار تهدیدات، به فرآیند جستجوی نشانه های مشخص در دادهها اطلاق می شود؛ این فرآیند می تواند از طریق ابزارهای مختلفی نظیر Splunk، ElasticSearch و … انجام شود. برای رسیدن به نتیجه مطلوب و اجتناب از نتایج غیرمربوط از فرآیند جستجو، نیاز به تعیین صحیح عبارت و شرایط جستجو است. دو فاکتور اساسی که در انجام یک جستجوی مطلوب باید در نظر داشت عبارتست از:
اجتناب از جستجوی نشانه های خیلی کلی یا گسترده
به عنوان نمونه، در صورتی که در بین داده های ورودی نظیر لاگ ها تمام لاگ های مربوط به پورت ۸۰ جستجو شود، این جستجو بسیار زمان بر و دارای نتایج بی ربطی خواهد بود.
اجتناب از جستجوی نشانه های خیلی خاص
به عنوان نمونه در صورتی که در بین داده های ورودی تنها لاگ های مربوط به پورت ۸۰ که از آدرس مبدا x.x.x.x و در زمان ۸ تا ۹ صبح درخواست شود، آنگاه ممکن است بسیاری از نتایج مفید از دست برود و تحلیلگر از آن غافل بماند.
روش دوم – خوشهبندی (Clustering)
خوشه بندی یک روش آماری است که اغلب با تکنیکهای یادگیری ماشین یا Machine Learning انجام می شود؛ خوشه بندی به فرآیند تفکیک و دسته بندی نقاط داده مشابه بر اساس خصیصه های مشخص از یک مجموعه داده بزرگتر اطلاق می شود. کاشفان یا شکارچیان تهدید از روش خوشه بندی برای مقاصد مختلفی از جمله تشخیص داده های ناهمگون و غیرمعمول استفاده می کنند. این روش زمانی مؤثر است که با حجم عظیمی از داده ها روبرو هستیم که هیچ گونه خصیصه رفتاری مشخصی را از خود نشان نمی دهند.
روش سوم – گروهبندی (Grouping)
گروه بندی به معنای دسته بندی داده ها بر اساس معیارهای رفتاری مشخص است. تفاوت عمده بین گروه بندی و خوشه بندی این است که در گروه بندی، ورودی مجموعه ای از اقلام مشخص است که هریک از آنها در فرآیند تحلیل و تشخیص تهدید می تواند مورد نظر قرار گیرد اما در خوشه بندی چنین اقلام مشخصی وجود ندارد. گروه های حاصل از خروجی فرآیند گروه بندی می تواند نشان دهنده یک ابزار یا تکنیک، روش و رویه ای باشد که مهاجمان استفاده کرده اند. یک جنبه بسیار مهم و حیاتی در فرآیند گروه بندی، تعیین شرایط مشخص برای گروه بندی اقلام و آیتم ها است؛ به عنوان نمونه رویدادهایی که در طی یک پنجره زمانی خاص اتفاق افتاده اند می توانند به عنوان یک گروه تفکیک شوند. این روش زمانی مفید است که شما درحال بررسی و تحلیل نمونه های مرتبط به هم از یک رویداد هستید؛ به عنوان مثال تفیک لاگ ها و داده هایی که مربوط به فرآیند شناسایی هدف هستند و در یک قاب زمانی خاص تولید شده اند.
روش چهارم – Stack Counting
روش Stack Counting که گاها Stacking نیز نامیده می شود یکی از رایج ترین روش هایی است که توسط تحلیلگران و شکارچیان تهدید استفاده می شود. روش Stacking به شمارش و فهرست کردن مقادیر از یک نوع خصیصه و تحلیل مقادیر پرت و ناهمگون آن نتایج اطلاق می شود. به بیان ساده تر، در روش Stacking داده ها بر اساس خصیصه های مشخص مانند آدرس IP، پورت و … مرتب می شوند و هرگونه ناهمگونی در این ترتیب تحلیل می شود. هنگامی که با مجموعه داده های بزرگ سروکار داریم این روش کارآمدی چندانی ندارد اما در مواقعی که داده های فیلترشده و مرتب با حجم نسبتا کم در اختیار داریم این روش کارآمد خواهد بود. در این روش می توان از سازوکار های به اشتراک گذاری اطلاعات تهدید یا Threat Intelligence و خروجی آنها و در کل از نشانه های شناخته شده تهدیدات بهره برد.
http://www.hypersec.ir/?p=196🌎@hypersect.me/hypersec