Microsoft 威脅搜捕背後的藝術和科學：第 1 部分

根據 Microsoft 的定義，威脅搜捕旨在積極找出偷偷摸摸 (或光明正大) 滲透環境的網路威脅。這項行為會超越已知警示或惡意威脅的範疇，著手探索新的潛在威脅和弱點。

為何資訊安全應變單位需要搜捕威脅？

Microsoft 偵測和回應團隊 (DART) 的任務，在於回應安全性事件，並協助客戶獲得網路彈性。當中涉及將威脅搜捕整合至我們的主動式和回應式調查服務項目中，以進行下列判斷：

透過調查進階植入攻擊和異常行為的跡象，判斷系統是否遭到惡意鎖定。
識別將攻擊者逐出環境的復原程序基礎。
提供防範縝密威脅製造者的策略性建議。

在回應式事件回應調查中，威脅搜捕有助於判斷事件的完整範圍，並提供有效的復原和修復策略。在主動式調查中，威脅搜捕則能探索潛在威脅或現有入侵事件，同時展現現行安全性控管機制及其安全作業程序的成效。DART 會透過找出新興攻擊者活動和先前已偵測威脅等方式，提供寶貴的意見回饋，進而提升產品偵測能力 (適用於 Microsoft 安全性產品和整體安全性生態網路)。

我們如何進行威脅搜捕？

威脅搜捕的正式定義，涉及三個相互關聯的層面：

鎖定目標的威脅搜捕—我們將鎖定目標的搜捕作業定義為主動尋找和搜尋已滲透至環境中的網路威脅，以及找出超越已知警示或惡意威脅範疇的新型潛在威脅和弱點。鎖定目標的威脅搜捕會在指定的範圍內尋找特定類別的指標。舉例來說，假設近期發生一項攻擊，組織可能有意評估自身環境，以了解該環境是否已受到影響。
安全性監控—這個程序會持續監控環境狀態，以偵測不尋常或未經授權的活動。當中涉及網路作業中心 (NOC) 和安全性作業中心 (SOC)，旨在確保網路不會發生中斷，且可抵禦威脅。
事件回應調查—這項調查的目的，是要在偵測到未經授權的存取或可疑行動後，識別根本原因並擬定修復計畫，以重新奪回或保有環境的正面掌控權。

每個組織都會透過不同的方法進行威脅搜捕。有時，客戶期望配合已知的技術來達成特定成果。我們會著重運用以異常偵測和樞紐分析為基礎的一般方法，結合對整體環境的相關知識。如此一來，即可達成多個目標，而非運用單一方法來單純進行鎖定目標的威脅搜捕，因而忽略其他威脅和風險。

我們將於本部落格稍後的部分深入探討異常情況搜捕層面。

威脅搜捕原則

DART 的鑑識調查人員會採用 Alexiou 原則，該原則旨在提出四個重要的問題，供調查人員逐一回答：

1.您正嘗試回答什麼問題？

威脅搜捕會視主要目標或所需回答的問題而異。這項作業需嘗試了解威脅發動者的主要目標、對方用來進行作業的網路環境，以及如何步步進逼這些目標。明確提出問題，可協助我們定義每個威脅搜捕作業的範圍。

2.您需要依據什麼資料來回答該問題？

若要回答上一個問題，勢必得採用雙管齊下的方法，以著重判斷需要使用什麼資料，以及如何取得該資料。在 DART 調查期間，我們經常在進行客戶調查時收集各式各樣的資料集，例如即時摘要和遙測。我們期望掌握目前位於該環境中的所有項目、列舉我們深知惡意人士熱衷入侵的目錄、收集有機會揭露過去或現行不法行為的事件記錄，並取得我們認為惡意人士想要竄改的登錄機碼，以及其他更多內容。

我們會採用分層式資料收集模式，並著手收集最密集、最富指標的資料快照，藉此構建所能觸及的每個物件和端點。這項資料旨在提供任何已知威脅、已知攻擊模式，以及眾多 (但非全部) 可疑或異常活動指標的相關資訊。只要識別目標系統，我們就會傳回並收集更大量且更完整的記錄與鑑識跡證資料集。

3.您如何擷取該資料？

識別資料後，接下來就需使用各種工具集加以擷取，例如時間點快照工具或 (如果客戶尚未部署) 適用於端點的 Microsoft Defender 等端點偵測和回應工具，以取得資料。我們將透過已擷取的資料，掌握可能有益、有害或耐人尋味的內容。這個階段也會將資料擷取納入考量。我們會考量收集到的資料會如何使用，以及如何效率十足地劃分威脅和複雜全球企業的背景雜訊。

4.該資料透露了什麼資訊？

現在需要查看所收集的資料，以施展資料分析能力。重點在於通盤考量環境內發生的一切情況，藉此評估普遍性和頻率，並嘗試釐清哪些項目應納入考量，哪些則應排除在外。這個思路可透過幾個不同的方式進行，包括詢問簡單的「這個安全性雜湊演算法在整個環境中的出現頻率為何？」問題，甚或提出更複雜且明確的問題，像是：「這個情況僅發生在網域控制器上的頻率為何？發生在組織單位裝置上的頻率為何？發生在其他使用者帳戶時，又會呈現何種情況？」

畢竟，這項計數遊戲可以透過許多方式進行。身為威脅搜捕人員，我們的職責在於找出最相關且最優先的方法，以解釋這些耐人尋味的結果，並了解當中是否可看出任何模式。我們會找出其他人難以察覺的攻擊或入侵指標。一切端視我們握有的資料，以及自身對資料的理解。

了解資料

我們會查看異常情況、目前的狀態和從缺的資料，藉此深入了解情況。

一切見真章：建構攻擊描述

我們深信，威脅搜捕的背後，存在著明確的藝術和科學，但最終，我們仍需試圖了解手邊資訊所透露的異常情況。達成上述目標的其中一個方式，就是憑藉對環境中典型包含之內容的理解，找出當中所缺乏的部分。了解典型情境，並將此與威脅發動者的所用工具、技巧和程序等知識予以結合，有助於更深入地掌握我們所調查的資料和系統。將這些異常情況加以結合，即可勾勒出異常情況的模式，進而協助我們使用以事實為基礎的分析意見來建構整個故事，也就是所謂的「攻擊描述」。

雖然識別異常情況的能力，可視為分析人員的必備技能之一，然而，了解目前的狀態，也具備同等的重要性。我們將於本系列的第 2 部分說明一般搜捕策略，更深入探討以異常情況為基礎的搜捕作業。

調查目前的狀態

如果調查人員十分幸運，或許有機會透過鑑識資料來進行異常狀況搜捕。但許多時候，我們的觀察往往侷限於環境的目前狀態。不過，即使無法取得可遇不可求的過往跡證，只要詳加查看目前的狀態，也可從中汲取寶貴的資訊。

我們在事件發生前提供的主動式網路安全性作業服務，可協助組織在事件發生之前，先行掌握目前的安全態勢和曝險程度。

若能掌握目前的狀態及其設定，即可判斷潛在的惡意或異常活動位於何處，並以此做為最初的起點。

提出「如何演變成此一狀態？此一狀態為當初刻意而為的結果，或因他人的惡意所致？」等問題，可協助我們的調查人員從耐人尋味之處下手、更深入地調查，然後以該處做為樞紐分析的起點，直到找出惡意活動的確切跡象。

調查從缺的資料

從缺資料的重要性，絕不亞於了解現行資料。我們取得的資料經常會缺乏或遺漏某些部分，因此，在觀察期間，往往會浮現各種問題，例如：「為何找不到某些跡證？哪些情況並未發生？是因為沒有記錄這項資料才導致這個情況嗎？該資料是否遭到移除？」

針對從缺的資料，我們也會試圖判斷特定入侵階段可能發生的情況，以及該階段的正常情況。有了這項資訊，我們就能嘗試建立假設，以找出如果環境中確實發生入侵，將會歷經哪些階段。舉例來說，在事件回應互動期間，客戶可能會基於自身的感應器和記錄並未顯示資料滲透活動之故，而終止後續的調查或回應。

了解資料的方法，往往會因分析師而異，但這項作業的目標，在於回答一系列的問題，並將這些問題轉化為更多的問題，然後在某個時間點停止上述程序，以盡可能勾勒出最完整的全貌。

了解何時應畫下句點

依循調查線索尋找真相，總是會衍生某些形式的資料匯總作業。了解何時應停止追查這項線索，往往為一大挑戰。如果發現即使更深入地汲取資訊，依舊沒有改變事件的全貌，甚或釐清事件或指標的層層關係，此時，該條線索就應畫下句點。這就如同深度優先搜尋和廣度優先搜尋的電腦科學演算法一樣，調查人員若過度集中單一線索，勢必會投入過多時間調查單一攻擊指標，繼而壓縮到調查其他潛在指標的時間。我們用來避免過度挖掘資料的做法，在於求助於同儕分析師，藉此徵詢不同的觀點，繼而確保自己能以各種不同的角度檢視所有證據。此外，加權風險分析也有助於縮小追查範圍。我們會捫心自問：「所調查的線索帶領我揪出惡意活動的可能性為何？」接著，請將此與惡意活動的潛在影響力相乘。使用該值進行排序，以釐清應該先追查哪些線索，將有助於加速找出風險更高的威脅 (勒索軟體和全網域入侵)，而非低風險威脅 (廣告軟體和加密貨幣挖礦)。

以上就是 DART 的威脅搜捕原則，這門藝術的重點，就是在事件回應工作期間在於運用批判性思考，以了解自身處理的資料、梳理資料，並建立可疑活動的模式。在下一篇文章中，我們將說明威脅搜捕背後的一般策略，以及我們如何運用威脅情報。敬請拭目以待。

深入了解

歡迎參閱 DART 部落格系列，以深入了解 Microsoft 偵測和回應團隊。

如需深入了解 Microsoft 安全性解決方案，請前往我們的網站。歡迎將安全性部落格加入書籤中，一手掌握 Microsoft 專家所提供的安全性建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。