Practical Threat Hunting（威胁搜寻实践）

威胁搜寻实践课程旨在向威胁搜寻者和突发事件响应者讲授开发和执行威胁搜寻的核心概念。通过本课程，学生可以学习：

• 应用网络威胁情报概念，搜寻环境中的对手活动
• 建立可重复的搜寻方法，并开发搜寻用例
• 利用端点数据进行搜寻
• 建立衡量搜寻计划有效性的方法

本课程包含实践实验，这些实验要求学生提出假设和开发搜寻任务，在多种情景中寻找入侵证据，包括社会工程学、网络和系统入侵以及 APT 国家攻击者。这些实验旨在让学生有机会使用命令行、Jupyter 笔记本等环境以及 Velociraptor 等取证工具体验搜寻。

前提条件：学生应具备计算机和操作系统的基础知识。不需要 Python 编程技能；不过，熟悉语言或编程概念有助于学生完成部分实验。

本课程由以下模块组成，整个教学过程中均包含实验。

• 威胁搜寻简介 – 了解构成威胁搜寻的核心概念。本课程概述了威胁搜寻的特征，以及执行威胁搜寻的好处和威胁搜寻者应该注意的挑战。本课程向学生介绍了利用威胁情报的核心概念。
• 威胁建模简介 – 了解威胁建模如何成为任何有效威胁搜寻的关键。本文简要介绍了威胁建模的基础知识。然后向学生提供威胁建模工作流的详解，以及它与威胁搜寻之间的关系。还探讨了使用威胁情报进行威胁建模的重要性。
• 威胁搜寻计划框架：了解威胁搜寻计划框架的构成。本模块有助于了解正式的威胁搜寻计划的要求。
• 威胁搜寻操作推动因素 - 了解搜寻任务能力需要什么。概述组织需要具备执行有效威胁搜寻能力的领域。探讨具备这些能力的好处以及在组织缺少其中任何一项能力的情况下所存在的挑战。
• A4 框架 – 本单元向学生介绍威胁搜寻的 A4 框架。本框架将用作所有动手实验的一部分，因此在本课程的其余部分将为学生深入讲解此框架。
• 威胁搜寻库 - 了解开发和维护威胁搜寻库的重要性。学生可以参加练习，从而强化开发和维护威胁搜寻库的重要性。在实验中，要求学生构建一个威胁搜寻库，他们在课程结束时可以将该库带走。
• 实验 - 要求学生完成多个实验，在实验中他们将针对特定场景利用威胁智能进行假设并开发搜寻任务。然后，向学生提供某个环境的访问权限，以便他们在该环境中执行他们设计的搜寻任务。
• 用例 – 了解威胁搜寻的关键结果。了解如何使用威胁搜寻任务生成用例。本模块将概述 Sigma 规则。然后，学生可以根据自己在动手实验中开发的搜寻任务开发用例。

本课程的内容和进度适用于威胁搜寻者、信息安全专业人员、突发事件响应者、计算机安全研究人员、企业调查人员，或需要了解威胁搜寻执行方式以及执行威胁搜寻的相关流程的其他人员。

讲师主导的线下培训或线上培训

• 3 天（线下授课）
• 4 天（线上授课）

学生应自带笔记本电脑，该笔记本电脑安装了所选择的最新浏览器并能够连接到互联网。学生会收到课程讲义、用于访问 Mandiant Advantage 的临时凭据，以及有关如何连接到实验环境的说明。