hunting-for-supply-chain-compromise

狩猎供应链入侵

适用场景

• 主动狩猎环境中供应链入侵指标时
• 威胁情报显示存在使用这些技术的活跃活动时
• 事件响应期间，确定与这些技术相关的入侵范围时
• EDR 或 SIEM 告警在相关指标上触发时
• 定期安全评估和紫队演练期间

前置条件

• 具备进程和网络遥测能力的 EDR 平台（CrowdStrike、MDE、SentinelOne）
• 已导入相关日志数据的 SIEM（Splunk、Elastic、Sentinel）
• 部署了综合配置的 Sysmon
• 启用 Windows 安全事件日志转发
• 用于 IOC 关联的威胁情报源

工作流程

1. 建立假设：基于威胁情报或 ATT&CK 差距分析，定义可验证的假设。
2. 识别数据源：确定需要哪些日志和遥测数据来验证或否定假设。
3. 执行查询：在 SIEM 和 EDR 平台上运行检测查询，收集相关事件。
4. 分析结果：检查查询结果中的异常，跨多个数据源进行关联。
5. 验证发现：通过上下文分析区分真阳性与误报。
6. 关联活动：将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
7. 记录并报告：记录发现结果，更新检测规则，并建议响应措施。

核心概念

概念	描述
T1195.001	入侵软件依赖项
T1195.002	入侵软件供应链
T1199	受信关系

工具与系统

工具	用途
CrowdStrike Falcon	EDR 遥测和威胁检测
Microsoft Defender for Endpoint	基于 KQL 的高级狩猎
Splunk Enterprise	使用 SPL 查询的 SIEM 日志分析
Elastic Security	检测规则和调查时间线
Sysmon	详细的 Windows 事件监控
Velociraptor	终端工件收集和狩猎
Sigma Rules	跨平台检测规则格式

常见场景

1. 场景 1：类似 SolarWinds 的更新机制入侵
2. 场景 2：含有后门的受损 npm/PyPI 包
3. 场景 3：被篡改的构建服务器部署恶意产物
4. 场景 4：厂商 VPN 软件更新传递恶意软件

输出格式

狩猎 ID：TH-HUNTIN-[日期]-[序号]
技术：T1195.001
主机：[主机名]
用户：[账户上下文]
证据：[日志条目、进程树、网络数据]
风险等级：[严重/高/中/低]
置信度：[高/中/低]
建议措施：[遏制、调查、监控]