Podstawowy przebieg wyszukiwania zagrożeń jest następujący:
- Wykonaj inwentaryzację źródeł danych, ocenę luk i podjęcie działań naprawczych.
- Określ rodzaj polowania i kryteria wyszukiwania.
- Upewnij się, że posiadasz dane wymagane do spełnienia kryteriów wyszukiwania.
- Przeprowadź wyszukiwanie.
WSKAZÓWKA Zanim zaczniesz bardziej ogólnie polegać na wynikach wyszukiwania, naśladuj zagrożenie i upewnij się, że wyszukiwanie i dane są zgodne z oczekiwaniami.
- Sprawdź wyniki. Jeśli zostanie wykryte zachowanie atakującego, kontynuuj dochodzenie i powiadom zespół reagowania na incydenty (IR).
- Jeśli nie zostanie znalezione zachowanie atakującego, wróć na górę. Następnie spłucz i powtórz.
Otóż to. Jasne, podczas tego procesu będziesz musiał się wiele nauczyć o tym, jak działają systemy operacyjne w Twoim środowisku, w jaki sposób generowane są, przesyłane i przechowywane dane dziennika oraz w jaki sposób przeciwnik porusza się po sieci, szczególnie gdy wygląda jak zwykły użytkownik , ale to wszystko jest częścią tego. Minie trochę czasu, a może nawet lat, zanim staniesz się biegły w polowaniu na zagrożenia. Zacznijmy więc teraz!
UWAGA: Ważne jest, aby zdać sobie sprawę, że bycie łowcą zagrożeń to podróż, która zajmie lata, zanim będziesz mógł uważać się za eksperta. Postaramy się pokazać Ci podstawy i wyposażyć Cię w narzędzia, dzięki którym z czasem udoskonalisz swoje rzemiosło. Nic jednak nie zastąpi poświęcenia 10 000 godzin, co dotyczy również tematów poruszanych w pozostałej części . Zatem ta część nie ma być wyczerpującym źródłem ani wyjaśnieniem polowania na zagrożenia. Do tego potrzeba by całej książki. Mamy nadzieję, że znajdziesz kilka nowych wskazówek dla tych, którzy mają doświadczenie w polowaniu na zagrożenia, ale tak naprawdę jest on skierowany do osób, które nie mają doświadczenia w tym temacie.