پس از تعیین تعداد دفعات شکار و همچنین تعیین هدف شکار، می توان فرآیند شکار را آغاز کرد. در حالی که مدل زمان بندی تشریح شده در بخش قبل می تواند به تعیین تعداد دفعات شکار در یک بازه زمانی کمک کند، سوال اینجاست که فرآیند کاربردی برای انجام فعالیت شکار چیست؟
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.
به منظور پاسخ به این سوال، شرکت Sqrrl چرخه ای با عنوان چرخه شکار تهدیدات معرفی کرده است که می تواند راهنمایی برای تحلیلگران در پیاده سازی تاکتیکی یک فعالیت شکار تهدیدات باشد.
همانگونه که در شکل نیز مشاهده می شود، چرخه شکار تهدیدات شامل چهار گام به شرح زیر است.
یک فعالیت شکار تهدید با خلق یک فرضیه یا یک حدس پرورش یافته درباره نوعی از فعالیتی که می توانسته در محیط سازمان شما اجرا شود، آغاز می شود. فرضیات معمولا بر اساس فاکتورهایی شامل اطلاعات تهدید، تجربیات گذشته و اطلاعات به دست آمده از همکاران یا سایر ذینفعان تنظیم و قاعده مند می شود.
شکارچی تهدید فرضیات خلق شده در گام قبلی را با بررسی از طریق تکنیک ها و ابزارهای مختلف دنبال می کند. این تکنیک ها و ابزارها در سایر بخش ها به تفصیل بیان خواهند شد، اما در کل تحلیلگران می توانند از آنها برای کشف الگوهای مخرب جدید در داده ها استفاده کنند و مسیرهای پیچیده یک حمله را برای نشان دادن تاکتیک ها، تکنیک ها و ابزارهای (TTP) مورد استفاده مهاجم، باز سازی کنند.
شکارچی تهدید با استفاده از تکنیک های دستی، جریان کاری مبتنی بر ابزار یا تحلیل، اقدام به کشف ناهنجاری یا الگوهای خاص که ممکن است در بررسی ها یافت شود، می کند. موفقیت در شکار تهدید، به آنچه در این گام یافت می شود بستگی دارد. از این رو این گام و نتایج آن بسیار حائز اهمیت است. حتی در صورتی که یک ناهنجاری یا ردپایی از مهاجم یافت نشود، می توان وجود یک تاکتیک یا نشانه خاص را رد کرد. به بیان دیگر، رد کردن فرضیه قربانی شدن و وجود مهاجم در شبکه خود می تواند یک دستاورد باشد. در اصل، این گام به عنوان اثبات یا رد فرضیات شما عمل می کند.
در نهایت، شکار تهدید می تواند به غنی تر کردن تحلیل های خودکار بیانجامد. زمان تیم شکار تهدید خود را با انجام شکارهای تکراری و یکسان تلف نکنید. در صورتی که نشانه یا الگویی یافت شود که بتواند مجددا در محیط سازمان شما (یا سازمان هدف) رخ دهد، تشخیص آن را خودکار کنید تا تیم شکار تهدیدات شما بتواند روی شکار تهدید جدید تمرکز کند. اطلاعات به دست آمده از شکارها می تواند به بهبود مکانیزم های تشخیص موجود مانند نشانه های تشخیص یا قوانین SIEM منجر شود.