user

Авторизация

Добро пожаловать!

Регистрация

Graf

IT безопасность

Обзор платформы Group-IB Threat Hunting Framework

 ИТ-инфраструктура крупных организаций очень неоднородна. У них есть конечные точки, серверы и мобильные устройства, работающие под управлением различных операционных систем и имеющие доступ к внутренним системам. В этих системах есть множество разрозненных инструментов — от баз данных с открытым исходным кодом и веб-серверов до коммерческих инструментов, используемых финансовым отделом организации. Кроме того, теперь эти приложения можно развертывать в разных облаках для повышения устойчивости, что еще больше усложняет и без того сложную инфраструктуру.

 Управление IT-инфраструктурой представляет собой серьезную проблему, особенно во время пандемии, когда сотрудники, как правило, работают удаленно. Создание дополнительного уровня безопасности поверх этой инфраструктуры — сложная задача, и успех этого проекта будет зависеть от наличия сотрудников службы безопасности и средств мониторинга, обнаружения и реагирования, которые могут снизить их нагрузку. К сожалению, из-за сложности защиты инфраструктуры и огромного количества векторов атак зрелость мониторинга безопасности организаций может отставать.

 Одним из решений этой проблемы является использование технологий, которые могут обеспечить видимость в инфраструктуре организации, одновременно собирая и обнаруживая аномальные события, а также реагируя на них.

 Несколько лет назад эксперт по безопасности Антон Чувакин предложил концепцию EDR (обнаружение и реагирование конечных точек) в виде легковесного агента конечных точек, который заполняет пробел между доступными на тот момент возможностями обнаружения и реагирования.

 EDR переросла в концепцию XDR — расширенное обнаружение и реагирование, которая представляет собой слияние возможностей защиты и реагирования между различными уровнями инфраструктуры (сетевой трафик, электронная почта, конечные точки, облачные экземпляры, общее хранилище и т. д.).

 Чтобы добиться успеха, XDR должен проверять различные уровни, записывать и сохранять события, а также — на основе своих расширенных аналитических функций — сопоставлять события по слоям, чтобы обнаруживать те, которые должны быть проверены аналитиками более высокого уровня. Цель состоит в том, чтобы ускорить цикл обнаружения и реагирования, чтобы сократить время, в течение которого злоумышленники могут скрываться в вашей инфраструктуре, а также уменьшить усталость аналитиков SOC и предотвратить выгорание.

 Мы протестировали платформу Group-IB Threat Hunting Framework (THF), которая рассказывает полную историю инцидента и его вдохновителя, а также может сопоставлять события и предупреждения между различными уровнями инфраструктуры, прежде чем эскалировать инциденты, требующие дополнительного внимания со стороны аналитиков. Его цель — выполнять пассивный мониторинг безопасности, а также обнаруживать атаки и сокращать время, которое злоумышленники тратят на ваши системы. Он опирается на глобальные возможности анализа угроз Group-IB, которые могут предоставить аналитикам дополнительный контекст в отношении предупреждений и инцидентов безопасности.

Методология

 Для этого обзора мы использовали облачный датчик и экземпляр Huntbox (система управления). Мы установили Huntpoint, отдельный облегченный агент конечных точек, на виртуализированные (KVM) конечные точки. Операционная система конечных точек — Windows 10 с последними исправлениями, на которую мы вручную установили Huntpoint. Для некоторых случаев использования мы отключили Защитник Windows (антивирусное решение Microsoft), чтобы мы могли протестировать возможности обнаружения и блокировки Huntpoint в реальных условиях.

 На конечных точках мы выполнили простые тестовые действия, чтобы увидеть, будут ли эти события позже доступны в THF. Мы:

  • Доступ и загрузка вредоносных файлов
  • Используемый хост сценариев Windows со сценарием VBS
  • Использовал PowerShell для запутывания выполнения команд
  • Выполнены вызовы процесса Wmic
  • Сброс хэшей NTLM с помощью Mimikatz
  • Открыл оболочку привязки с помощью Netcat

 Мы также провели полное заражение с помощью программы-вымогателя Ryuk и попытались изолировать хост.

 Для тестирования возможностей обнаружения электронной почты мы использовали различные вредоносные документы (файлы MS Word, PDF-файлы) и архивы, которые были дополнительно вложены или защищены паролем. Мы отправили эти вредоносные документы в виде вложений электронной почты из учетной записи ProtonMail, чтобы предотвратить блокировку доставки электронных писем в контролируемый почтовый ящик.

 Мы протестировали THF Polygon, платформу детонации вредоносных программ, с тем же набором файлов. Мы вручную протестировали программы-вымогатели Ryuk и Sigma, загрузив их в Polygon. Другие вредоносные файлы из тестового набора данных были автоматически отправлены из Huntpoint. Собранные индикаторы использовались для тестирования системы Group-IB Threat Intelligence & Attribution.

 Во время тестирования мы следили за этими факторами успеха, которые помогли нам сформировать окончательное мнение о продукте:

  • Возможности обнаружения (события конечной точки, файлы и электронная почта)
  • Простота использования и возможности интеграции
  • Качество данных Threat Intelligence при предоставлении контекста для существующих событий
  • Потребление ресурсов (ЦП/ОЗУ для EDR и т. д.)

Фреймворк для поиска угроз

 Threat Hunting Framework (THF) от Group-IB — это решение, которое помогает организациям выявлять «слепые зоны» безопасности и обеспечивает целостный уровень защиты их наиболее важных сервисов как в ИТ-среде, так и в среде OT.

 Целью этой структуры является обнаружение неизвестных угроз и злоумышленников путем обнаружения аномальных действий и событий и сопоставления их с системой анализа и атрибуции угроз Group-IB, которая способна связывать инциденты кибербезопасности с конкретными злоумышленниками. Другими словами, когда вы обнаружите в своем сетевом трафике подозрительный домен/IP-адрес, с помощью нескольких щелчков мыши вы можете развернуть и раскрыть, что стоит за этой инфраструктурой, просмотреть исторические свидетельства предыдущих вредоносных действий и доступную информацию об атрибуции, чтобы помочь вам расширить или быстро закрыть свое расследование. THF внимательно следит за процессом реагирования на инциденты, имея специальный компонент для каждого шага.

 Существует две разновидности THF: корпоративная версия, адаптированная для большинства бизнес-организаций, использующих стандартный стек технологий (сервер электронной почты, домен Windows, конечные точки Windows/macOS, прокси-сервер и т. д.), и промышленная версия, способны анализировать протоколы промышленного уровня и защищать устройства промышленных систем управления (ICS) и системы диспетчерского управления и сбора данных (SCADA).

 Threat Hunting Framework может:

  • Анализировать сетевой трафик и выявлять подозрительные действия (скрытые каналы, туннели, удаленное управление, C&C-маяки) с помощью модуля Sensor.
  • Завершать зашифрованные соединения на уровне 2 и уровне 3
  • Интеграция с локальными и облачными системами электронной почты
  • Обеспечьте видимость конечных точек и управляйте инцидентами на них с помощью компонента/системы EDR под названием THF Huntpoint. THF Huntpoint может обнаруживать популярные атаки с повышением привилегий и методы бокового перемещения (pass-the-hash/ticket, Mimikatz, NTLM bruteforce, использование живых двоичных файлов и аналогичные инструменты).
  • Анализ файлов с помощью платформы детонации вредоносных программ THF Polygon
  • Выполняйте расширенный поиск угроз, используя журналы из THF Huntpoint, канала электронной почты, маркеров трафика и поведения каждого анализируемого файла из любого источника.
  • Выявляйте аномалии и неизвестные угрозы, сопоставляя все доступные данные между различными модулями THF.
  • Обогащение событий данными/информацией из облачной базы данных Threat Intelligence & Attribution Group-IB.

 Все данные обогащаются и доступны из центральной панели управления и системы управления под названием THF Huntbox. THF Huntbox обеспечивает управление инцидентами, корреляцию событий и сотрудничество между аналитиками во время поиска угроз и IR-операций. Все аномалии сетевого трафика, оповещения по электронной почте, обнаружения точек поиска и файлы, детонированные в Polygon, доступны, и пользователь может сопоставить данные о событиях (IoC) с базой данных Threat Intelligence & Attribution, используя анализ графиков и другие методы.

 THF также можно объединить с CERT-GIB (Группа реагирования на компьютерные чрезвычайные ситуации Group-IB), отправляя данные телеметрии или IoC для дальнейшего изучения экспертами, что может повысить уровень экспертизы сложных инцидентов и повысить уровень зрелости вашего SOC.

Компоненты THF

Сенсор THF и расшифровщик THF

 THF Sensor — это система, используемая для анализа входящего и исходящего сетевого трафика в режиме реального времени, извлечения из него файлов, с использованием подходов интеллектуального анализа трафика на основе машинного обучения (для обнаружения бокового движения, активности DGA и скрытых туннелей) и сигнатур, блокирования подозрительных файлов ( с прокси, ICAP интеграция). Все файлы, собранные из сетевого трафика, могут быть отправлены в THF Polygon, систему детонации файлов, которая используется для поведенческого анализа.

 Датчик поставляется в виде физического устройства высотой 1U или может быть развернут как виртуальная машина в зависимости от вашего варианта использования и требований. Для анализа скорости 250 Мбит/с через SPAN-порт вам потребуется как минимум 32 ГБ ОЗУ и 12 виртуальных ЦП. Датчик может анализировать зеркальный трафик с порта SPAN/RSPAN, TAP-устройств или трафик с RSPAN, отправленный по туннелям GRE, что означает, что при развертывании он не влияет на пропускную способность корпоративной сети. Sensor поддерживает широкий диапазон конфигураций пропускной способности, стандартные версии поддерживают 250, 1000 и 5000 Мбит/с, но Sensor может поддерживать архитектуры с высокой пропускной способностью до 10 Гбит/с. Клиент может использовать более одного датчика и в основном покрывать любую пропускную способность, даже на уровне интернет-провайдера.

 Во время анализа THF Sensor может обнаруживать сетевые аномалии, такие как скрытые каналы, туннели, дистанционное управление и различные методы бокового перемещения. Он также может извлекать содержимое электронной почты из почтового трафика и анализировать его — эта возможность довольно интересна, поскольку позволяет определять пароли для архивных файлов, отправляемых в электронных письмах (и избегать их перебора).

 Существует специальная версия THF Sensor, предназначенная для промышленных систем — THF Sensor Industrial, которая способна анализировать протоколы ICS. Sensor Industrial поддерживает различные протоколы ICS (Modbus, S7comm, S7comm+, UMAS, OPCUA, OPCDA, IEC104, DNP3, DeltaAV, CIP, MQTT и другие) и может обнаруживать изменения топологии и контролировать целостность программного и микропрограммного обеспечения, используемого в ПЛК. Также можно настроить правила обнаружения на основе политик, доступных в параметрах конфигурации.

 THF Sensor может анализировать зашифрованные сеансы с помощью компонента THF Decryptor, который обнаруживает сеансы, защищенные TLS/SSL, выполняет замену сертификата и может маршрутизировать прокси-трафик. THF Decryptor поддерживает все популярные версии TLS (1.1–1.3) и наборы шифров. Он может быть развернут и работает в различных режимах: прозрачный (мостовой) режим, который работает на уровне 2 OSI, где он невидим для пользовательской сети, или режим шлюза (маршрутизатора), где он выступает в качестве шлюза для пользовательских сетей.

THF Huntbox

 THF Huntbox — это центральная панель управления и точка отчетности для Group-IB Threat Hunting Framework. Он доступен в виде веб-приложения и содержит возможности управления компонентами THF (THF Sensor, THF Polygon и THF Huntpoint) и действует как механизм корреляции для управления событиями, предупреждениями и инцидентами, а также масштабируемое хранилище для всех собранных необработанных журналов и других данных. данные. Через интерфейс THF Huntbox пользователи могут просматривать сведения о событиях, создавать отчеты и эскалировать инциденты, а также создавать отчеты и проводить поиск угроз в локальном и глобальном контексте. THF Huntbox выступает в качестве внешнего интерфейса для отчетов динамического анализа THF Polygon.

Threat Hunting Framework

 THF Huntbox имеет следующие разделы:

  • Инциденты — критические заявки, требующие немедленного внимания и решения аналитиков. Можно сотрудничать и комментировать прогресс с другими аналитиками в вашей организации. Мы сотрудничали с CERT-GIB, их поддержка — это ценная услуга, которая может расширить возможности пользователей по обнаружению и реагированию.
  • Оповещения — потенциально вредоносные события, передаваемые различными компонентами THF (например, THF Polygon, THF Huntpoint), содержащие коррелированные события и информацию об обнаружении.
  • График — инструмент Group-IB для сетевого анализа, работающий в базе данных Group-IB Threat Intelligence & Attribution, которая содержит данные об угрозах и историческую информацию обо всех сетевых узлах (включая историю Whois, SSL, записи DNS и т. д.), а также собранные неструктурированные данные. из различных андеграундных каналов связи, форумов и социальных сетей
  • Расследование — здесь находятся все доступные события. Этот раздел делится на:
    • Электронные письма — содержат все проанализированные электронные письма и обнаружение потенциально опасного контента.
    • Файлы — Содержит все файлы, извлеченные из сетевого трафика, прокси-сервера, конечных точек, электронных писем, файловых ресурсов. Файлы также можно загружать для динамического анализа вручную или автоматически с помощью API. Для каждого файла доступен отчет Polygon, в котором содержится вердикт о том, является ли файл вредоносным или безопасным.
    • Компьютеры — содержит сведения о доступных действиях (например, изоляция от сети) для всех конечных точек, зарегистрированных в экземпляре THF.
    • События Huntpoint — содержат все события, собранные от клиентов Huntpoint.
    • Сетевые подключения — содержит извлеченные сетевые подключения от датчиков.
    • Отчеты — содержат сводные отчеты обо всех действиях за указанный диапазон дат и отчеты, относящиеся к конкретным инцидентам, предупреждениям или событиям.
Threat Hunting Framework

 Мы провели большую часть времени в разделе «Расследования», просматривая необработанные события и просматривая файлы и отчеты по электронной почте. События и их метаданные могут быть интегрированы с SIEM с системным журналом и с другими системами мониторинга. THF сопоставляет и объединяет события во всех своих модулях (например, электронная почта от THF Sensor и анализ вредоносного вложения THF Polygon) и может блокировать их автоматически или вручную в зависимости от вашей конфигурации, правил и политик (см. рис. 3 для электронной почты). К рабочим процессам THF Huntbox легко привыкнуть, они помогают снизить когнитивную нагрузку аналитиков и позволяют им сосредоточиться на предупреждающих действиях. Все функции сортировки находятся в одном месте, а поиск дополнительного контекста доступен в представлении «График».

 THF Huntbox также может заменить классическую систему продажи билетов для отслеживания инцидентов и предупреждений. Разделы «Предупреждения» и «Инциденты» полезны для рабочих процессов реагирования на инциденты, многие события могут быть автоматически сопоставлены, а аналитики могут связывать предупреждения с инцидентами, вручную сопоставлять события и комментировать временную шкалу.

 Оповещения обычно инициируются определенными индикаторами компрометации (домены, IP-адреса, файлы, электронные письма, события Huntpoint), обнаруженными во время действий по поиску угроз. Инциденты содержат одно или несколько предупреждений и других соответствующих событий, которые дают больше контекста.

 Опция совместной работы устраняет необходимость наличия другой системы для этой конкретной цели. Аналитики могут комментировать и прикреплять файлы (хотя более широкий обзор был бы полезен для длинных комментариев).

Threat Hunting Framework

THF Huntpoint

 THF Huntpoint — это легкий агент, устанавливаемый на конечных точках, который собирает и анализирует все системные изменения и поведение пользователя (80+ типов событий, включая созданные процессы, межпроцессное взаимодействие, изменения реестра, изменения файловой системы, сетевые подключения и т. д.) и извлекает файлы с конечных точек и направляет их в THF Polygon для дополнительного анализа. Он используется для обеспечения полной видимости конечных точек организации и предоставляет полную хронологию событий, которые на них произошли.

 THF Huntpoint обнаруживает аномалии и блокирует вредоносные файлы и может использоваться для удаленного сбора криминалистических данных, необходимых для сортировки, или для изоляции зараженной машины во время реагирования на инциденты. События можно искать с помощью языка запросов, похожего на другие языки запросов SIEM, такие как Splunk и Elasticsearch.

Threat Hunting Framework

 Установка THF Huntpoint — простой процесс. Мы установили его вручную, но его можно установить с помощью групповой политики или специализированного установщика THF Huntpoint, интегрированного с Active Directory.

 Мы протестировали наши конечные точки с вредоносными файлами в различных форматах (документы, исполняемые файлы, архивы, такие как ZIP, RAR, ISO). Наши тесты проводились с отключенным Защитником Windows, чтобы не мешать возможностям обнаружения THF Huntpoint. Huntpoint обнаружил все вредоносные файлы с первой попытки, файлы были помещены в карантин, а оповещения были видны в THF Huntbox.

Threat Hunting Framework

 THF Huntpoint дает много информации о том, что происходит на конечной точке. Вся активность пользователя — создание или открытие файлов/процессов/потоков/ключей реестра, сетевой трафик и многое другое — отображается в разделе «События Huntpoint» в Huntbox.

Threat Hunting Framework
Threat Hunting Framework

 Чтобы выполнить простой тест, мы создали текстовый файл (действие видно в THF Huntbox и посетили helpnetsecurity.com . Не копаясь глубоко в документации, мы успешно нашли нужные поля для запроса событий. Тем не менее, требуется время и терпение, чтобы привыкнуть к именам полей и стать ловким с запросами событий Huntpoint для более сложных запросов.

 В THF Huntbox вы можете сохранять результаты поиска для будущих расследований и даже делиться результатами поиска со своими коллегами. Это удобно, когда вы хотите иметь «поваренную книгу» основных запросов для обнаружения некоторых популярных случаев неправильного использования (например, подозрительных загрузок PowerShell).

 Другие тесты THF Huntpoint, которые мы проводили, были связаны с заражением вредоносным ПО. Мы заразили нашу конечную точку программой-вымогателем, и исполняемые файлы были отправлены в THF Polygon для детонации и вынесения окончательного вердикта. Инфекции были успешно обнаружены и были видны в THF Huntbox в разделе «Оповещения».

Threat Hunting Framework

 Во время этого последнего теста клиент THF Huntpoint на конечной точке потреблял всего 20-40 МБ ОЗУ, при этом нагрузка на ЦП была незаметной. С точки зрения производительности вы получаете полную видимость с минимальным воздействием на ресурсы. Из-за большого количества событий во время заражения программами-вымогателями мы заметили небольшую задержку перед тем, как некоторые события стали доступны в Huntbox, но через некоторое время все события стали доступны для запроса.

 Мы провели простые тесты, чтобы увидеть, все ли сценарии, которые может выполнить злоумышленник, записаны в THF Huntpoint и доступны в THF Huntbox. 

Threat Hunting Framework
Threat Hunting Framework

 Мы также пытались использовать Mimikatz для создания дампа хэшей NTLM, присутствующих на конечных точках

Threat Hunting Framework

 На данный момент THF Huntpoint доступен только для Microsoft Windows, но в ближайшем будущем он также должен быть доступен для других платформ, таких как macOS и Linux.

THF Polygon

 THF Polygon — платформа для детонации файлов. Он интегрирован в THF с целью анализа неизвестных файлов и электронных писем в изолированной среде. Источником файлов может быть сетевой трафик от THF Sensor, интеграция ICAP для анализа веб-трафика, локальное/общедоступное хранилище файлов, клиент THF Huntpoint или интеграция API.

 Group-IB разработала и поддерживает библиотеку с открытым исходным кодом для упрощения интеграции с THF Polygon API, чтобы ее можно было использовать в любом существующем приложении или рабочем процессе, который имеет дело с ненадежными источниками URL-адресов файлов (системы заявок, чаты поддержки и т. д.). Библиотека доступна на GitHub , и начать ее использовать очень просто.

 Еще одна возможность интеграции, которая нам понравилась, — это существующая интеграция с решением Palo Alto XSOAR: это позволяет встраивать THF Polygon в существующие рабочие процессы безопасности, работающие на платформе XSOAR.

Threat Hunting Framework

 Анализируемый файл выполняется в изолированной среде, и через несколько (2-5) минут вы получаете полный отчет анализа поведения относительно записанных событий файла, сети, реестра, процесса. Вы можете просмотреть изменения выполнения с помощью видео, которое показывает, как ведет себя анализируемый артефакт.

 Маркеры поведения доступны в виде списка или заполненной матрицы MITRE ATT&CK . Вы также можете просмотреть состав файла и дерево процессов, что может быть полезно при обнаружении методов, включающих изменения процесса (например, внедрение процесса или его опустошение).

Threat Hunting Framework

 Все IoC, собранные с помощью THF Polygon, могут быть обогащены с помощью Graph Network Analysis для получения глобального контекста. THF Polygon также можно использовать через API, который может инициировать анализ и получать результаты по его завершении.

Threat Hunting Framework

 Как мы описали в разделе «Методология» этого обзора, мы попытались отправить вредоносные вложения в отслеживаемый почтовый ящик. Видно, что файлы, содержащие вредоносный документ, и такой же заархивированный документ были успешно обнаружены после сканирования файлов с помощью THF Polygon. Интеграция с почтой доступна для внутренних почтовых серверов, но есть также новый компонент (Atmosphere), который может сканировать и обнаруживать атаки на облачные почтовые ящики (например, Office 365 или Google для бизнеса). Интеграция с почтой выполняет анализ вложений и ссылок, но также может обнаруживать BEC и целевой фишинг (т. е. электронные письма, которые часто не содержат вложений или ссылок).

Threat Hunting Framework
Threat Hunting Framework
Threat Hunting Framework

Графический вид (Group-IB Threat Intelligence & Attribution)

 Global Threat Intelligence & Attribution — это база данных информации об угрозах и аналитический инструмент, который является результатом усилий Group-IB, направленных на тщательный сбор и сканирование Интернета на протяжении более десяти лет. База данных содержит:

  • Все доступные пространства IPv4 и IPv6 (сканируется ежедневно)
  • 211 миллионов отпечатков SSH
  • 650 миллионов доменов с историческими данными за более чем 16 лет (включая изменения регистрации DNS, записи WHOIS)
  • 1,6 миллиарда сертификатов
  • Хэши вредоносных файлов
  • Данные собраны с форумов и социальных сетей

 Интерфейс прост и похож на интерфейс другого продукта Group-IB — Fraud Hunting Platform.

 Этот компонент THF бесценен, потому что иногда вы можете обнаружить странный домен или хэш при расследовании некоторых событий, и вам нужно больше контекста вокруг этого. Вы копируете индикатор в представлении «График», и через несколько секунд у вас есть целый связанный график, который поможет вам повысить уровень ваших возможностей расследования.

 Например, мы использовали вредоносный домен, который был частью кампаний Emotet. Вы можете уточнить результаты поиска, сжав временную шкалу под фактическим графиком. Или вы можете управлять глубиной графика, определив количество шагов, которые уточняют количество индикаторов, которые вы видите из основного — это полезно для индикаторов, которые имеют много взаимосвязей.

 THF заботится о личных данных и соблюдает различные законы о безопасности данных и конфиденциальности, поэтому использует маски, чтобы скрыть личную информацию (например, номера телефонов, доступные в социальных сетях). Graph, безусловно, полезен не только для аналитиков, но и для правоохранительных органов, поскольку с его помощью можно создать полное представление о внутренней инфраструктуре вредоносных кампаний. 

 Сетевой анализ графа позволяет соотнести конкретные индикаторы с конкретной угрозой, а также сопоставить события, которые на первый взгляд кажутся несвязанными. Видно, что наш поиск по домену привел к атрибуции кампании Emotet. По сравнению с ручным анализом, который может быть кроличьей норой с отдельными индикаторами, порождающими дополнительные, которые также должны быть проанализированы, анализ графа экономит ваше время, когда вы обнаруживаете подозрительный домен в своих журналах.

Заключение и вердикт

 Threat Hunting Framework — это надежный продукт, основанный на богатом опыте Group-IB. Он построен на основе классического рабочего процесса обработки инцидентов, распространенного в группе реагирования на чрезвычайные ситуации сообщества. Он прост в использовании и подходит для SOC-аналитиков всех уровней и директоров по информационной безопасности, которые могут получать сводные отчеты и статистику, иллюстрирующие уровень безопасности их инфраструктуры.

 После установки модулей THF Huntpoint и THF Sensor вы получаете все инструменты для поиска угроз в вашей организации из коробки. В большинстве случаев быструю сортировку можно выполнить, не выходя из THF Huntbox. В зависимости от вашего сценария использования THF может устранить необходимость в полноценной SIEM и заменить ее функциональность, поскольку она построена на тех же идеях.

 THF имеет очень мягкую кривую обучения. После того, как вы привыкнете к языку запросов и полям событий, вы сможете довольно быстро проявить творческий подход к поиску угроз. THF поддерживает проверенные в боевых условиях инструменты, такие как Yara и Suricata, что делает его совместимым с большинством источников информации об угрозах и позволяет создавать собственные правила обнаружения. Он тщательно разработан, чтобы уменьшить количество предупреждений и, следовательно, усталость аналитиков. Иногда это может происходить за счет сокращения некоторых автоматических обнаружений на конечных точках, связанных с методами Red Teaming.

 THF — ценный инструмент для аналитиков и специалистов по реагированию на инциденты. Он не может заменить людей-экспертов, но найдет аномалии и сопоставит их на разных уровнях, чтобы им не приходилось делать это вручную. Недостаток квалифицированных аналитиков можно уменьшить, используя THF в сотрудничестве с CERT-GIB или другими поставщиками управляющих услуг безопасности, которые используют THF в качестве платформы безопасности. Group-IB реализует открытую партнерскую программу для MSSP по всему миру, чтобы предоставлять передовые услуги безопасности по всему миру.

 Мы можем порекомендовать Threat Hunting Framework, поскольку он обещает работу на различных уровнях (сеть, система электронной почты, файлы, конечные точки, облако) и предоставляет полезную аналитику инцидентов/событий.

 Возможности управления инцидентами доступны и их будет достаточно для большинства организаций. Group-IB Threat Intelligence & Attribution расширит возможности анализа угроз и поиска угроз в каждой организации, обеспечит быструю сортировку или более глубокий анализ, сэкономит время и уменьшит потребность в интеграции дополнительных каналов.