I team di sicurezza moderni non possono fare affidamento solo sugli avvisi. Gli autori degli attacchi rimangono attivi negli ambienti per giorni o settimane prima che gli strumenti di rilevamento ne individuino l'attività, e le minacce più sofisticate sono progettate appositamente per eludere le regole automatizzate. Una metodologia strutturata di "threat hunting" colma questa lacuna: si passa da un sistema di avvisi reattivo a un'indagine proattiva, partendo dal presupposto che qualcosa possa già non funzionare correttamente e cercando sistematicamente delle prove.
Questa guida illustra in cosa consiste la metodologia di threat hunting, come i principali team di sicurezza strutturano i propri programmi di threat hunting e come applicare tali modelli utilizzando la Vectra AI in ambienti ibridi che comprendono infrastrutture di rete, identità, cloud e SaaS.
È rivolto agli analisti SOC, agli ingegneri di rilevamento e agli architetti della sicurezza che stanno sviluppando o perfezionando una strategia proattiva di ricerca delle minacce.
Che cos'è una metodologia di threat hunting?
Una metodologia di threat hunting è un approccio strutturato alla ricerca proattiva di minacce che non hanno ancora attivato avvisi automatici. Anziché attendere che una regola di rilevamento si attivi, i threat hunter partono dal presupposto che possa esserci già qualcosa che non va e cercano indizi comportamentali. Essi combinano le informazioni sulle minacce, la conoscenza delle tattiche degli aggressori e la familiarità con il proprio ambiente per individuare attività che non corrispondono ai modelli previsti.
Una metodologia completa di ricerca delle minacce definisce tre elementi: cosa cercare (l'ipotesi), come farlo (la tecnica) e cosa fare quando si individua qualcosa (il flusso di lavoro di risposta).
Le tre metodologie di threat hunting più diffuse sono:
| Metodologia |
A chi si rivolge |
Ideale per |
| Caccia basata sul TTP |
Comportamenti e tecniche degli aggressori mappati su framework come MITRE ATT&CK |
Individuazione delle minacce avanzate che eludono gli strumenti basati sulle firme |
| Caccia basata sul rispetto delle norme |
Violazioni delle politiche, configurazioni non sicure e violazioni dei limiti normativi |
Individuare le configurazioni errate e le lacune nell'applicazione delle politiche prima che si trasformino in incidenti |
| Caccia basata sull'IOC |
Elementi identificativi noti degli autori degli attacchi: domini, indirizzi IP, hash dei file e token |
Verifica dell'esposizione a seguito di un avviso relativo alle informazioni sulle minacce o della divulgazione di una violazione |
Piattaforme per la ricerca delle minacce
Un framework per la ricerca delle minacce fornisce la struttura di riferimento che guida la pianificazione, l'esecuzione e la ripetizione delle attività di ricerca. I framework più diffusi utilizzano MITRE ATT&CK tassonomia delle tecniche degli aggressori, organizzando le attività di ricerca per tattica (l'obiettivo che l'aggressore cerca di raggiungere) e tecnica (il modo in cui lo raggiunge).
Gli elementi fondamentali di un quadro operativo per la ricerca delle minacce sono:
- Formulazione di ipotesi: definire quale comportamento dell'autore dell'attacco si sta cercando e perché è rilevante nel proprio ambiente
- Identificazione delle fonti dei dati — individuare quali flussi di dati telemetrici contengono il segnale richiesto (metadati di rete, registri di identità, cloud , endpoint )
- Esecuzione delle query — eseguire ricerche strutturate sui dati storici per individuare corrispondenze
- Analisi approfondita e indagine — quando viene individuata una corrispondenza, approfondire l'entità interessata per comprenderne la portata e la cronologia
- Integrazione della risposta — reimmettere i risultati confermati nelle regole di rilevamento, nei playbook o nei flussi di lavoro di risposta agli incidenti
- Documentazione e ripetibilità: salva le query efficaci, documenta i risultati e pianifica ricerche ricorrenti
Senza un quadro operativo standardizzato, la ricerca delle minacce rimane un’attività sporadica e produce risultati incostanti. Con un quadro di questo tipo, invece, diventa un programma misurabile che rafforza costantemente la copertura del rilevamento.
Migliori pratiche per la ricerca delle minacce
Le seguenti buone pratiche sono state tratte da programmi SOC consolidati e riflettono ciò che distingue i team di hunting altamente performanti da quelli che faticano a mettere in pratica tali principi.
Partite da ipotesi altamente attendibili. Le ricerche più efficaci si basano su tecniche specifiche degli aggressori, non su ricerche generiche. Prima di scrivere una sola query, utilizzate le informazioni sulle minacce, i rapporti sugli incidenti recenti e MITRE ATT&CK identificare le tecniche rilevanti per il vostro settore e la vostra infrastruttura.
Dare priorità ai metadati di rete. I metadati di rete mostrano come i sistemi comunicano, non solo che lo hanno fatto. Endpoint descrivono eventi isolati su una singola macchina. I dati di rete rivelano invece come le attività si collegano tra loro nell'intero ambiente. I team che si basano principalmente endpoint tralasciano una categoria significativa di segnali relativi a movimenti laterali, attività di comando e controllo ed esfiltrazione di dati.
Effettua ricerche su tutti e tre i tipi di metodologia. Le ricerche basate su TTP, sulla conformità e sugli IOC mettono in luce categorie di minacce diverse. Un programma che utilizza solo un tipo di metodologia tralascia sistematicamente ciò che gli altri due sono progettati per individuare.
Creare librerie di query ripetibili. Salvare le query efficaci. Documentare cosa cerca ciascuna di esse, quali risultati ha prodotto in passato e in quali condizioni genera falsi positivi. Una libreria di query in continua espansione è un indicatore diretto della maturità del programma.
Integrare i risultati nell'ingegneria del rilevamento. Ogni risultato confermato della ricerca delle minacce che non viene convertito in una regola di rilevamento rappresenta un'occasione persa per rafforzare la sicurezza. Il ciclo continuo tra la ricerca delle minacce e l'ottimizzazione del rilevamento è ciò che consente ai programmi di migliorarsi autonomamente nel tempo.
Stabilisci i valori di riferimento comportamentali prima di cercare le anomalie. Non è possibile identificare in modo affidabile ciò che è anomalo senza prima capire come si presenta la situazione normale. Dedica del tempo alla documentazione dei valori di riferimento prima di aspettarti che la ricerca delle anomalie produca segnali affidabili.
Ricerche a tempo. Le ricerche strutturate e a tempo determinato, con obiettivi chiari, danno risultati migliori rispetto alle indagini senza una scadenza precisa. I ricercatori più esperti operano in sessioni strutturate della durata di 5-30 minuti, per poi vagliare i risultati prima di decidere se approfondire o cambiare direzione.
Metodologia di ricerca delle minacce con la Vectra AI
Vectra AI è stata appositamente progettata per indagini avanzate sulle minacce e per la ricerca proattiva su larga scala. Gli analisti possono esplorare i metadati potenziati dall'intelligenza artificiale per individuare i comportamenti degli aggressori, tracciare le attività nel tempo e correlare i segnali tra i livelli di identità, cloud e rete, il tutto da un'unica interfaccia.
Ambiti di copertura e flussi di metadati
| Ambito di copertura |
Flussi di metadati |
| Rete |
iSession, DNS, HTTP, SSL, X.509, SMB, RDP, RADIUS, NTLM, LDAP, DHCP, SSH, DCE/RPC, Kerberos, AI-Beacon |
| Entra con ID |
Accessi con Entra ID, attività di Entra ID |
| Microsoft 365 |
Attività relative a M365 e Copilot, Exchange, SharePoint |
| Piano di controllo di Azure |
Attività del piano di controllo di Azure |
| Piano di controllo AWS |
Attività del piano di controllo AWS |
Modalità di ricerca nella Vectra AI
| Tecnica di caccia |
A chi si rivolge |
Quando utilizzarlo |
| Caccia basata sul TTP |
Comportamenti e procedure degli aggressori mappati su MITRE ATT&CK furto di credenziali, abuso dell'autenticazione, movimento laterale, elusione |
Proattivo, continuo — individuazione delle minacce avanzate che eludono gli strumenti basati sulle firme |
| Caccia basata sul rispetto delle norme |
Violazioni delle politiche, protocolli obsoleti, configurazioni non sicure e servizi non autorizzati |
Cadenza regolare e audit preventivi: individuare le lacune nell'applicazione delle norme prima che si trasformino in incidenti |
| Caccia basata sull'IOC |
Elementi noti associati agli autori degli attacchi: domini dannosi, indirizzi IP, hash dei file e token di autenticazione |
Dopo la segnalazione e dopo l'incidente — verificare se un indicatore noto era presente nel proprio ambiente |
Metodologia di ricerca delle minacce basata sul TTP
L'approccio basato sul TTP si concentra sull'identificazione dei comportamenti degli aggressori piuttosto che sull'utilizzo di indicatori statici. Concentrandosi su tattiche, tecniche e procedure specifiche utilizzate durante le intrusioni reali, i team di sicurezza possono individuare minacce che spesso sfuggono agli strumenti basati sulle firme.
Quali attività di ricerca basate sul TTP sono pensate per individuare:
- Compromissione in fase iniziale prima dell'inizio del movimento laterale
- Tecniche di furto delle credenziali rivolte ad Active Directory e cloud
- Modelli di abuso dell'autenticazione tra controller di dominio e provider di identità
- Anomalie nell'accesso Cloud che indicano una fase preliminare di esfiltrazione
- Tecniche di elusione che utilizzano strumenti di sistema legittimi (living-off-the-land)
Le nove attività di ricerca basate sul TTP riportate di seguito sono associate a tecniche di attacco note e possono essere eseguite direttamente nella Vectra AI .
Metodologia di ricerca delle minacce basata sul TTP
L'approccio basato sul TTP si concentra sull'identificazione dei comportamenti degli aggressori piuttosto che sull'utilizzo di indicatori statici. Concentrandosi su tattiche, tecniche e procedure specifiche utilizzate durante le intrusioni reali, i team di sicurezza possono individuare minacce che spesso sfuggono agli strumenti basati sulle firme.
Quali attività di ricerca basate sul TTP sono pensate per individuare:
- Compromissione in fase iniziale prima dell'inizio del movimento laterale
- Tecniche di furto delle credenziali rivolte ad Active Directory e cloud
- Modelli di abuso dell'autenticazione tra controller di dominio e provider di identità
- Anomalie nell'accesso Cloud che indicano una fase preliminare di esfiltrazione
- Tecniche di elusione che utilizzano strumenti di sistema legittimi (living-off-the-land)
Le nove attività di ricerca basate sul TTP riportate di seguito sono associate a tecniche di attacco note e possono essere eseguite direttamente nella Vectra AI .
1. Recupero della chiave di backup DPAPI
Cosa restituisce questa query:
- Tentativi di recuperare le chiavi di backup DPAPI dai controller di dominio
- Modelli di accesso sospetti alle risorse del controller di dominio
- Richieste amministrative insolite su Active Directory
- Utilizzo di tecniche note per l'estrazione delle chiavi DPAPI (Mimikatz, SharpDPAPI, DSInternals)
Logica di ricerca: Controlla i registri DCE/RPC di rete degli ultimi 14 giorni alla ricerca di eventi in cui un sistema si connette a un controller di dominio utilizzando endpoint LSARPC endpoint esegue l' recuperare dati privati operazione.
Implicazioni per la sicurezza: il furto della chiave di backup DPAPI consente a un malintenzionato di:
- Decrittografare tutte le password e le credenziali memorizzate sulla rete
- Estendere i privilegi a livello di dominio
- Raccogliere dati sensibili su larga scala
- Garantire un controllo costante nel lungo periodo\
SELECT
timestamp,
orig_hostname,
id.orig_h AS "id_orig_h",
id.resp_h AS "id_resp_h",
resp_hostname,
dominio,
username,
endpoint,
nome host,
operazione,
ID_sensore
DA
network.dce_rpc
WHERE
id.orig_h = '10.254.50.142'
E LOWER(endpoint) = 'lsarpc'
E LOWER(operazione) = 'lsarretrieveprivatedata'
E timestamp > date_add('day', -14, ora())
ORDINATO PER
timestamp DESC
LIMIT 100
2. Utilizzo del file binario Certutil
Cosa restituisce questa query:
certutil.exe utilizzato per scaricare file da siti web esterni- Contenuto codificato in Base64 decodificato tramite certutil
- Elevati volumi di richieste HTTP provenienti dal
Microsoft-CryptoAPI/10.0 user agent - Modelli di download sospetti raggruppati per host di destinazione
Logica di ricerca: Analizza il traffico HTTP degli ultimi 14 giorni alla ricerca di richieste con un determinato user agent Microsoft-CryptoAPI/10.0, che viene generato quando certutil scarica file da fonti esterne.
Implicazioni per la sicurezza: l'uso improprio di Certutil consente agli aggressori di:
- Diffondere malware una normale attività di sistema
- Esfiltrare i dati tramite un file binario Windows attendibile
- Eseguire script offuscati che eludono i sistemi di rilevamento standard
- Assicurarsi di rimanere sul posto o spostarsi lateralmente prima di essere individuati
SELEZIONA host, CONTARE(*) AS numero_richieste
DA network.http
WHERE user_agent = 'Microsoft-CryptoAPI/10.0' AND timestamp > date_add('giorno', -14, now())
GROUP PER host
ORDINARE BY numero_richieste DESC
LIMIT 50
3. Controller di dominio che avvia l'autenticazione NTLM
Cosa restituisce questa query:
- Controller di dominio che generano richieste di autenticazione NTLM in uscita (comportamento anomalo)
- Indirizzi IP di origine che corrispondono a intervalli noti di controller di dominio che avviano procedure di autenticazione verso altri sistemi
Logica di ricerca: analizza il traffico NTLM degli ultimi 14 giorni alla ricerca di richieste con controller di dominio come indirizzi IP di origine.
Implicazioni per la sicurezza: un controller di dominio che avvia un'autenticazione NTLM in uscita è un chiaro indicatore di:
- Attacchi di relay NTLM
- Autenticazione forzata (PetitPotam, PrinterBug)
- Movimento laterale da un DC compromesso
- Potenziale compromissione a livello di dominio
SELECT id.orig_h, orig_hostname.name AS hostname, COUNT(*) AS ntlm_request_count
DA network.ntlm
WHERE (LOWER(orig_hostname.name) LIKE '%dc%' OR TRY_CAST(id.orig_h AS
IPADDRESS) BETWEEN INDIRIZZO_IP '10.254.100.0' E INDIRIZZO IP '10.254.100.255')
E timestamp > date_add('giorno', -14, now())
GROUP PER id.orig_h, orig_hostname.name
ORDINARE BY ntlm_request_count DESC
LIMIT 100
4. Autenticazioni forzate
Cosa restituisce questa query:
| Tecnica |
Protocollo |
Opnums interessati |
| PetitPotam |
MS-EFSR |
0, 4, 5, 6, 7, 12, 13, 15 |
| PrinterBug |
MS-RPRN |
65 (0x41) |
| ShadowCoerce |
MS-FSRVP |
8, 9 (0x08, 0x09) |
| DFSCoerce |
MS-DFSNM |
12, 13 (0x0c, 0x0d) |
Logica di rilevamento: analizza i metadati del traffico RPC per identificare le chiamate ai protocolli Windows vulnerabili che utilizzano numeri di operazione specifici corrispondenti a tecniche di coercizione note.
Implicazioni per la sicurezza: un'autenticazione forzata riuscita consente agli aggressori di:
- Eseguire attacchi di relay NTLM senza l'intervento dell'utente
- Sottrarre le credenziali di un account di macchina con privilegi a livello di dominio
- Eseguire attacchi DCSync e creare Golden Ticket
- Ottenere il controllo totale del dominio
SELECT timestamp, nome_host_orig, id.orig_h, id.resp_h, nome_host_resp, dominio,
nome_utente, endpoint, nome_host, operazione, uid_sensore
DA network.dce_rpc
WHERE (
(endpoint = 'unknown-c681d488-d850-11d0-8c52-00c04fd90f7e' E operazione
IN ('unknown-0', 'sconosciuto-4', 'sconosciuto-5', 'sconosciuto-6', 'sconosciuto-7', 'sconosciuto-12',
'sconosciuto-13', 'sconosciuto-15')) OPPURE
(endpoint = 'spoolss' E operazione IN
('RpcRemoteFindFirstPrinterChangeNotificationEx')) OR
(endpoint = 'unknown-a8e0653c-2744-4389-a61d-7373df8b2292' E operazione
IN ('unknown-8', 'sconosciuto-9')) OPPURE
(endpoint = 'netdfs' E operazione IN ('NetrDfsAddStdRoot', 'NetrDfsRemoveStdRoot'))
) E timestamp > date_add('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
5. SSH in uscita su una porta non standard
Cosa restituisce questa query:
- Connessioni SSH in uscita su porte diverse dalla porta 22
- Sessioni verso destinazioni esterne tramite il protocollo SSH sulle porte 2222, 443, 8080 o altre porte non standard
- Sistemi che avviano connessioni SSH verso destinazioni in cui non è previsto l'accesso SSH
Logica di ricerca: esamina i metadati di iSession per identificare le connessioni TCP in uscita con protocollo SSH che avvengono su porte diverse dalla porta 22.
Implicazioni per la sicurezza: l'uso di SSH in uscita su porte non standard comporta:
- Canali di comando e controllo nascosti
- Canali di esfiltrazione dei dati che aggirano le regole del firewall
- Accesso remoto non autorizzato mascherato da traffico web legittimo
- Trasferimento laterale tramite tunneling SSH
SELECT timestamp, uid, id.orig_h, orig_hostname, id.resp_h, resp_hostname,
id.resp_p, proto_name, orig_ip_bytes, resp_ip_bytes, duration, conn_state, sensor_uid, service
DA network.isession
WHERE LOWER(service) = 'ssh' E id.resp_p != 22 E local_resp != vero E
timestamp > date_add('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
6. Accessi da più paesi (indicatore di impossibilità di viaggio)
Cosa restituisce questa query:
- Utenti autenticati da più di un paese nell'arco di 24 ore
- Solo accessi con dati di localizzazione confermati (gli accessi senza dati di localizzazione sono esclusi)
Logica di ricerca: raggruppa tutti gli accessi riusciti effettuati da un utente nelle ultime 24 ore, conta i paesi distinti per utente e identifica gli utenti che compaiono in più di un paese.
Implicazioni per la sicurezza: gli accessi da più paesi nell'arco di 24 ore indicano una probabile compromissione delle credenziali, poiché per la maggior parte degli utenti è fisicamente impossibile spostarsi rapidamente da un paese all'altro. Questo schema è tipico delle campagne di credential stuffing e di appropriazione degli account che prendono di mira le identità aziendali.
SELECT DISTINCT(vectra.identity_principal), CONTA(DISTINCT location.country_or_region) AS CountryCount,
MIN(timestamp) AS FirstLogin, MAX(timestamp) AS UltimoAccesso
DA entra.signins._all
DOVE location.country_or_region È NON NULL
E timestamp > date_add('day', -1, ora())
GROUP PER vectra.identity_principal
HAVING COUNT(DISTINCT location.country_or_region) > 1
ORDER BY CountryCount
LIMITE 100
7. Tentativi di accesso non riusciti per indirizzo IP
Cosa restituisce questa query:
- Indirizzi IP con almeno 20 tentativi di autenticazione falliti nell'arco di 6 ore
- Numero totale di errori e utenti unici raggiunti per indirizzo IP
- Ora di inizio e di fine del guasto per indirizzo IP
Logica di ricerca: raggruppa i tentativi di accesso non riusciti per indirizzo IP nelle ultime 6 ore, individuando gli indirizzi IP con un elevato numero di tentativi falliti che indicano l'uso di strumenti di attacco automatizzati.
Implicazioni per la sicurezza:
| Motivo |
Tipo di attacco probabile |
| Numero elevato di errori, utente singolo |
Attacco di forza bruta mirato |
| Elevato numero di errori, molti utenti unici |
Attacco di tipo "password spray" |
| Guasti verificatisi in un breve lasso di tempo |
Strumento automatizzato per il credential stuffing |
SELECT indirizzo_IP, CONTARE(*) AS Tentativi falliti,
COUNT(DISTINCT vectra.identity_principal) AS UtentiUnici,
MIN(timestamp) AS PrimoErrore,
MAX(timestamp) AS UltimoErrore
DA entra.signins."Demolab-AD"
DOVE indirizzo_IP È NON NULL
E timestamp > date_add(ora, -6, ora())
AND status.error_code != 0
GRUPPO PER indirizzo_IP
HAVING CONTA(*) >= 20
ORDINE BY Tentativi falliti
LIMIT 100
8. Accesso in blocco a dati sospetti relativi a un account di archiviazione
Cosa restituisce questa query:
- Utenti o applicazioni che eseguono 100 o più operazioni di lettura di blob o file nell'arco di 6 ore
- Operazioni di lettura eseguite con successo su Azure Blob Storage e Azure File Services
- Raggruppati per identità e risorsa di archiviazione per facilitare l'analisi incrociata
Logica di ricerca: analizza i registri di attività di Azure relativi alle operazioni di lettura degli account di archiviazione nelle ultime 6 ore, individuando le origini con un numero di letture pari o superiore alla soglia di accesso in blocco.
Implicazioni per la sicurezza: le operazioni di lettura dall'archivio di massa indicano:
- Fase di esfiltrazione dei dati — gli autori degli attacchi scaricano file in blocco prima del trasferimento
- Account compromessi utilizzati per sottrarre dati aziendali su larga scala
- Furti Cloud mirati alla proprietà intellettuale, alle credenziali o ai dati dei clienti
SELECT vectra.identity,
ID risorsa,
CONTARE(*) AS AccessCount,
COUNT(DISTINCT ResourceId) AS AccountDiArchiviazioneUnici,
MIN(timestamp) AS FirstAccess,
MAX(timestamp) AS UltimoAccesso
DA azurecp.operations._all
DOVE timestamp > date_add(ora, -6, ora())
AND UPPER(nomeoperazione) IN ('MICROSOFT.STORAGE/STORAGEACCOUNTS/BLOBSERVICES/CONTAINERS/BLOBS/READ',
'MICROSOFT.STORAGE/STORAGEACCOUNTS/FILESERVICES/SHARES/FILES/READ')
AND tipo_risultato = 'Successo'
GRUPPO PER vectra.identity, ResourceId
HAVING CON(*) >= 100
ORDINE PER AccessCount
LIMIT 100
9. Modelli di accesso eccessivi ai segreti del Key Vault
Cosa restituisce questa query:
- Sorgenti che accedono ad almeno 20 segreti di Key Vault nell'arco di 24 ore
- Fonti che accedono a 10 o più credenziali uniche — il che indica una raccolta massiccia di credenziali
- Operazioni SecretGet, KeyGet e CertificateGet riuscite, raggruppate per identità e indirizzo IP
Logica di ricerca: esamina i registri delle attività di Azure relativi alle operazioni di accesso a Key Vault nelle ultime 24 ore, individuando le origini che superano i normali volumi di accesso dell'applicazione.
Implicazioni per la sicurezza: un accesso eccessivo a Key Vault è associato ad attacchi di raccolta delle credenziali in cui le identità compromesse vengono utilizzate per sottrarre:
- Chiavi API e stringhe di connessione per il movimento laterale
- Certificati per l'usurpazione d'identità
- Segreti necessari per garantire un accesso continuo in tutto l'ambiente
SELECT calleripaddress,
vectra.identity,
ID risorsa,
nome_operazione,
CONT(*) AS ConteggioAccessiSegreti,
COUNT(DISTINCT resourceid) AS SegretiUnici,
MIN(timestamp) AS FirstAccess,
MAX(timestamp) AS UltimoAccesso
DA azurecp.operations._all
DOVE timestamp > date_add('ora', -24, ora())
AND nome_operazione IN ('SecretGet', 'KeyGet', 'CertificateGet')
E tipo_risultato = 'Success'
E indirizzo IP del chiamante È NON NULL
GRUPPO PER calleripaddress, vectra.identity, resourceid, operationname
AVENDO CONTA(*) >= 20 OPPURE CONTARE(DISTINCT resourceid) >= 10
ORDINARE BY ConteggioAccessiSegreti
LIMIT 100
Metodologia di ricerca delle minacce basata sulla conformità
La "caccia alla conformità" si concentra sulle violazioni delle politiche di sicurezza, dei controlli di accesso o dei limiti architetturali definiti da standard normativi o interni. Questo approccio mette in luce comportamenti a rischio che, pur non essendo necessariamente dolosi, potrebbero indicare configurazioni errate, minacce interne o lacune nell'applicazione delle norme — spesso prima che si trasformino in risultati di audit o vettori di violazione.
Cosa sono chiamate a far emergere le attività di ricerca basate sulla conformità:
- Protocolli legacy ancora attivi nell'ambiente (SMBv1, servizi non crittografati)
- Tentativi di tunneling volti ad aggirare i controlli di sicurezza della rete
- Software client non aggiornato o obsoleto che crea una superficie di attacco vulnerabile
- L'adozione di servizi di IA non autorizzati comporta il rischio di esposizione dei dati
1. Utilizzo di SMBv1
Cosa restituisce questa query:
- Tutti i sistemi che hanno utilizzato attivamente il protocollo SMBv1 negli ultimi 14 giorni
- Connessioni client, condivisioni server e comunicazioni tra sistemi tramite SMBv1
- Applicazioni legacy, sistemi Windows obsoleti, dispositivi NAS e software di terze parti che si basano su questo protocollo obsoleto
Logica di ricerca: analizza l'attività SMB della rete negli ultimi 14 giorni, elencando gli host di origine distinti che utilizzano SMBv1.
Implicazioni per la sicurezza: l'uso di SMBv1 comporta rischi su tre fronti:
| Dimensione del rischio |
Impatto |
| Sicurezza |
Consente attacchi di tipo "lateral movement" — lo stesso protocollo sfruttato da WannaCry e NotPetya tramite EternalBlue |
| Conformità |
La maggior parte degli standard normativi (PCI-DSS, CIS Controls) richiede espressamente che SMBv1 sia disabilitato |
| Operativo |
SMBv1 compromette le prestazioni e l'affidabilità della rete |
SELECT DISTINCT id.orig_h, orig_hostname.name
DA network.smb_mapping._all
WHERE versione = 'SMBv1' AND timestamp > data_aggiunta('giorno', -14, ora())
2. Utilizzo del protocollo HTTP CONNECT su porte TCP non comuni
Cosa restituisce questa query:
- Richieste con metodo HTTP CONNECT indirizzate a porte diverse da 80, 443, 8080 o 8443
- Possibili tentativi di tunneling e abuso dei server proxy
- Connessioni in uscita non autorizzate su porte non standard
- Malware di connettersi a server esterni tramite porte che aggirano i filtri web standard
Logica di ricerca: analizza i log HTTP alla ricerca di richieste CONNECT gestite tramite proxy che non utilizzano il protocollo HTTPS standard (porta 443). Il servizio di ispezione approfondita dei pacchetti Vectra AI identifica il traffico HTTP indipendentemente dal numero di porta, rendendo questa ricerca efficace anche contro le tecniche di elusione delle porte.
Implicazioni per la sicurezza: l'uso del comando HTTP CONNECT su porte non comuni indica:
- Tentativi di aggirare i controlli di sicurezza della rete
- Creazione di un canale nascosto
- Esfiltrazione di dati attraverso porte non standard
- Traffico Malware mascherato da traffico web
SELECT timestamp, id.orig_h, orig_hostname, user_agent, id.resp_h, resp_hostname,
id.resp_p, metodo, host, uri, status_code
DA network.http
DOVE is_proxied = true AND LOWER(metodo) = 'connect' E uri NON LIKE '%:443'
E timestamp > data_aggiunta('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
3. Rilevamento dei browser obsoleti
Cosa restituisce questa query:
| Browser |
Schema di rilevamento |
| Internet Explorer (tutte le versioni) |
L'agente utente contiene %MSIE% |
| Firefox 3-6 |
L'agente utente contiene %Firefox/[3-6]% |
| Chrome 1-49 |
L'agente utente contiene %Chrome/[1-9]% oppure %Chrome/[1-4][0-9]% |
| Safari 10-16 |
L'user agent corrisponde al modello di versione 1[0-6] |
Logica di rilevamento: individua le stringhe User-Agent HTTP che indicano l'utilizzo di browser web obsoleti. L'uso prolungato per diversi giorni evidenzia i sistemi privi di patch e esposti a un rischio elevato di attacchi.
Implicazioni per la sicurezza: i browser obsoleti sono spesso oggetto di attacchi tramite:
- Download automatici da siti web compromessi o dannosi
- Phishing che sfruttano vulnerabilità note dei browser
- Contenuti web dannosi che prendono di mira vulnerabilità CVE documentate e non corrette
L'uso prolungato di browser obsoleti è spesso indice di lacune più ampie endpoint e può costituire una violazione delle politiche endpoint .
SELECT id.orig_h, orig_hostname.name AS hostname, user_agent, CONT(*) AS numero_richieste
DA network.http._all
WHERE timestamp BETWEEN date_add('day', -14, ora()) AND ora()
AND ( user_agent LIKE '%MSIE%'
OR user_agent LIKE '%Firefox/[3-6]%'
OPPURE user_agent LIKE '%Chrome/[1-9]%'
OPPURE user_agent LIKE '%Chrome/[1-4][0-9]%'
OPPURE user_agent LIKE '%Version/(1[0-6](\.\d+)*)\s+Safari%' )
GRUPPO BY id.orig_h, orig_hostname.name, user_agent
ORDINARE BY numero_richieste DESC
LIMIT 100
4. Utilizzo dei servizi di IA — interazioni con piattaforme di IA generativa
Cosa restituisce questa query:
| Piattaforma |
Modello di dominio monitorato |
| OpenAI / ChatGPT |
%openai.com, %chat.openai.com |
| Anthropic / Claude |
%anthropic.com, %claude.ai |
| Google Bard |
%bard.google.com |
| Microsoft Copilot |
%bing.com |
| Cohere |
%cohere.ai |
| Hugging Face |
%huggingface.co |
| Mistral |
%mistral.ai |
| DeepSeek |
%deepseek.com% |
Logica di ricerca: analizza i metadati DNS alla ricerca di query in uscita verso domini noti di piattaforme di IA generativa, individuando host, volumi di richieste e modelli di utilizzo.
Implicazioni per la sicurezza: l'adozione non autorizzata dell'IA comporta tre categorie di rischio:
- Esposizione dei dati — utenti che incollano codice sensibile, credenziali o documenti interni nei campi di immissione
- Violazioni della conformità — trattamento non autorizzato dei dati in contesti soggetti a regolamentazione (HIPAA, GDPR, PCI-DSS)
- Shadow IT — Utilizzo dell'intelligenza artificiale che aggira i controlli di sicurezza e le politiche di governance dei dati già in atto
SELECT query, CONTA(DISTINCT orig_hostname.name) come numero_host_unici,
COUNT(*) come numero_totale_query
DA network.dns
DOVE ( query LIKE '%openai.com'
OR query LIKE '%chat.openai.com'
OPPURE query LIKE '%anthropic.com'
OPPURE query LIKE '%claude.ai'
OPPURE query LIKE '%bard.google.com'
OPPURE query LIKE '%bing.com'
OPPURE query LIKE '%cohere.ai'
OPPURE query LIKE '%huggingface.co'
OPPURE query LIKE '%mistral.ai'
OPPURE query LIKE '%deepseek.com%' )
E timestamp TRA data_aggiunta('giorno', -14, ora()) AND ora()
GROUP PER query
ORDINARE BY numero_host_unici DESC, numero_totale_query DESC
LIMIT 100
Metodologia di individuazione delle minacce basata sull'IOC
La ricerca delle minacce basata sull'IOC consente di verificare potenziali vulnerabilità, individuare il riutilizzo delle infrastrutture degli autori degli attacchi e individuare minacce che potrebbero aver eluso le difese iniziali. È particolarmente efficace per rispondere agli avvisi di intelligence sulle minacce o alle divulgazioni pubbliche relative a campagne in corso.
Cosa sono gli indicatori di compromissione (IOC)?
Gli IOC sono elementi che, se considerati nel loro contesto, indicano l'attività di un aggressore. Di norma non generano segnalazioni di per sé: occorre un'indagine approfondita per confermare se una corrispondenza indichi effettivamente una violazione.
| Tipo IOC |
Esempi |
| Domini sospetti |
Infrastruttura C2 controllata dagli autori degli attacchi, pagine phishing |
| Indirizzi IP dannosi |
Infrastrutture associate alla malware o all'esfiltrazione di dati |
| Hash dei file |
Impronte digitali malware noti |
| Agenti utente e indirizzi e-mail |
Modelli utilizzati nelle campagne phishing di furto d'identità |
| Elementi di autenticazione |
Token OAuth, chiavi API, chiavi di registro utilizzate nei meccanismi di persistenza |
Da dove i team di sicurezza ricavano gli IOC
| Tipo di fonte |
Esempi |
| Rapporti sull'intelligence delle minacce |
Mandiant, Volexity, avvisi della CISA, Vectra Threat Research |
| Notizie e blog sulla sicurezza |
BleepingComputer, KrebsOnSecurity |
| Comunità di condivisione delle minacce |
ISAC, repository GitHub, AlienVault OTX |
| Social media |
Post su X/Twitter pubblicati da ricercatori affidabili nel campo della sicurezza informatica |
| Piattaforme di ingegneria per il rilevamento |
Regole Sigma, repository YARA |
Flusso di lavoro di ricerca IOC nella Vectra AI
Una volta individuato un IOC o una serie di IOC, il flusso di lavoro dell'indagine si articola in quattro fasi:
- Cerca — cerca il dominio, l'indirizzo IP o l'hash nei metadati storici e nei rilevamenti
- Pivot — individuare quale host o utente ha interagito con l'IOC
- Analizzare la cronologia degli eventi: stabilire quando è stato avvistato per la prima volta l'IOC e se è ricomparso
- Controlla l'attività circostante: verifica la presenza di comportamenti successivi quali l'escalation dei privilegi, il movimento laterale o modelli di accesso ai dati insoliti
Suggerimento: anche se un IOC è obsoleto o generico, può comunque aiutare a individuare minacce persistenti o a confermare il contenimento dopo un incidente.
Esempio di flusso di lavoro: viene pubblicato un avviso CISA contenente indicatori collegati a una campagna APT nota. Si estraggono due domini, un indirizzo IP e un hash di PowerShell. Nella Vectra AI , si cerca uno dei domini nei metadati HTTP e si individua un'attività risalente a tre settimane fa. L'host di destinazione è un sistema finanziario. Si passa alla sezione Investigate e si visualizzano i rilevamenti correlati: "Attività di scripting anomala" e "Movimento laterale sospetto". Ora si dispone di prove altamente attendibili per segnalare il problema ai livelli superiori e contenerlo.
1. Domini dannosi — phishing di comando e controllo / phishing
Cosa restituisce questa query:
- Sessioni in uscita verso domini noti come dannosi
- Potenziali callback C2, attività di beaconing o interazioni dell'utente con phishing
Logica di ricerca: individua le sessioni di rete degli ultimi 14 giorni in cui il dominio di destinazione corrisponde a un elenco di domini noti come dannosi.
Implicazioni per la sicurezza: le connessioni a domini controllati da malintenzionati possono indicare:
- Comunicazione C2 attiva o trasmissione di segnali di localizzazione
- Fase di download del carico utile
- Interazione degli utenti con phishing (fenomeno comunemente riscontrato con strumenti di furto di dati come LummaC2 o broker di accesso iniziale come Scattered Spider)
SELECT timestamp, uid, id.orig_h come "id_orig_h", orig_hostname, id.resp_h come "id_resp_h",
nome_host_risposta, id.resp_p come "id_resp_p", proto_name, orig_ip_bytes,
resp_ip_bytes, durata, stato_connessione, uid_sensore
DA network.isession
WHERE (resp_domain = 'baddomain1.com' OR resp_domain = 'baddomain2.com')
E timestamp > data_aggiunta('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
2. Indirizzi IP noti come dannosi — riutilizzo dell'infrastruttura o esfiltrazione
Cosa restituisce questa query:
- Connessioni da o verso indirizzi IP inseriti nella lista nera negli ultimi 14 giorni
- Dettagli completi della sessione, inclusi origine, destinazione, protocollo e durata per ogni connessione corrispondente
Logica di ricerca: individua tutte le sessioni di rete che coinvolgono indirizzi IP specifici come origine o destinazione.
Implicazioni per la sicurezza: gli indicatori di compromissione (IOC) basati su indirizzi IP vengono spesso riutilizzati in diverse campagne condotte da autori di minacce. La presenza di corrispondenze può indicare:
- Richiesta di Malware verso un'infrastruttura nota dell'autore dell'attacco
- È in corso un'esfiltrazione diretta di dati
- Attacco in corso che sfrutta un'infrastruttura già individuata
SELECT timestamp, uid, id.orig_h come "id_orig_h", orig_hostname, id.resp_h come "id_resp_h",
nome_host_risposta, id.resp_p come "id_resp_p", proto_name, orig_ip_bytes, resp_ip_bytes,
durata, stato_connessione, uid_sensore
DA network.isession
WHERE (id.resp_h IN ('192.0.2.1', '192.0.2.2') OPPURE id.orig_h IN ('192.0.2.1', '192.0.2.2'))
E timestamp > date_add('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
3. Nomi di file sospetti — preparazione di payload dannosi
Cosa restituisce questa query:
- File trasferiti tramite SMB con nomi di file di base più lunghi di 50 caratteri
- Modelli associati alla malware automatizzata malware e all'occultamento dei dati
Logica di ricerca: analizza l'attività dei file SMB degli ultimi 14 giorni, estraendo ed elencando i file con nomi di base insolitamente lunghi.
Implicazioni per la sicurezza: i nomi dei file eccessivamente lunghi o oscurati indicano:
- malware automatizzata malware o di payload tramite script
- Modelli di diffusione del ransomware
- Si sta preparando il materiale per la campagna pubblicitaria in vista della sua realizzazione
SELECT nome, REGEXP_EXTRACT(nome, '([^\\/]+)$') AS nome_file_base,
LENGTH(REGEXP_EXTRACT(nome, '([^\\/]+)$')) AS lunghezza_base
DA network.smb_files
WHERE LENGTH(REGEXP_EXTRACT(name, '([^\\/]+)$')) > 50 E timestamp > date_add('giorno', -14, now())
ORDER BY lunghezza_base DESC
LIMIT 50
4. File privi di vocali — malware offuscato o generato automaticamente
Cosa restituisce questa query:
- Nomi di file SMB che non contengono vocali nel nome di base del file
- Modelli associati ai nomi malware generati in modo programmatico
Logica di ricerca: estrae i nomi dei file che non contengono vocali (solo consonanti o simboli) dall'attività relativa ai file SMB degli ultimi 14 giorni.
Implicazioni per la sicurezza: i nomi dei file privi di vocali indicano una generazione automatica, una tecnica di elusione comunemente utilizzata dagli malware per eludere il rilevamento basato sulle firme. Se non vengono individuati, questi payload aumentano il tempo di permanenza dell'autore dell'attacco e l'impatto dell'attacco stesso.
SELECT nome, REGEXP_EXTRACT(nome, r'([^\\/]+)$') AS nome_file_base
DA network.smb_files
WHERE REGEXP_LIKE(REGEXP_EXTRACT(name, r'([^\\/]+)$'), '^[^aeiouAEIOU]+$') AND
timestamp > date_add('giorno', -14, now())
LIMIT 50
5. Percorsi di file sospetti — spostamento laterale o preparazione
Cosa restituisce questa query:
- File a cui si è avuto accesso o che sono stati modificati in /
App/Dati/Roaming/ percorsi - Operazioni sui file nelle directory comunemente utilizzate dal malware dagli strumenti post-exploit come punti di transito o di persistenza
Logica di ricerca: analizza l'attività dei file SMB degli ultimi 14 giorni per individuare i file a cui è stato effettuato l'accesso nei percorsi AppData/Roaming. La query può essere modificata per monitorare qualsiasi percorso di file di interesse nel proprio ambiente specifico.
Implicazioni per la sicurezza: le directory AppData/Roaming sono specificamente prese di mira dal malware dagli strumenti degli hacker perché:
- Sono soggette a un controllo operativo meno rigoroso rispetto alle directory di sistema
- Sono modificabili dagli account utente standard senza necessità di elevare i privilegi
- Gli strumenti possono operare da queste posizioni a tempo indeterminato senza attivare le normali regole di monitoraggio dell'integrità dei file
SELECT timestamp, uid, id.orig_h come "id_orig_h", orig_hostname, id.resp_h come "id_resp_h",
nome_host_risposta, id.resp_p come "id_resp_p", versione, percorso, azione, nome, uid_sensore
DA network.smb_files
WHERE percorso LIKE '%/App/Data/Roaming/%' AND timestamp > date_add('giorno', -14, now())
ORDER BY timestamp DESC
LIMIT 100
6. Impronta digitale JA3 — TOR o client TLS insoliti
Cosa restituisce questa query:
- Connessioni TLS che utilizzano l'impronta digitale JA3 associata ai client TOR
- Sistemi che eseguono browser TOR o applicazioni basate su TOR in ambito aziendale
Logica di ricerca: estrae i log delle sessioni SSL/TLS degli ultimi 14 giorni, filtrandoli in base a uno specifico hash JA3 noto per corrispondere ai client TOR.
Implicazioni per la sicurezza: l'utilizzo di TOR in un ambiente aziendale può indicare:
| Tipo di indicatore |
Possibile significato |
| Dispositivi dei dipendenti |
Violazioni delle norme, utilizzo di software di anonimizzazione |
| Server o workstation |
Malware che utilizza TOR per comunicazioni anonime |
| Piattaforme automatizzate |
Strumenti di attacco che sfruttano implementazioni TLS non standard |
| Qualsiasi bene |
Esfiltrazione dei dati tramite canali crittografati e anonimizzati |
Per ulteriori informazioni: la documentazione relativa alla metodologia JA3 è disponibile all'indirizzo https://github.com/salesforce/ja3. Le impronte digitali JA3 curate dalla comunità sono disponibili all'indirizzo https://ja3.zone/.
SELECT timestamp, uid, id.orig_h come "id_orig_h", orig_hostname, id.resp_h come "id_resp_h",
nome_host_risposta, id.resp_p come "id_resp_p", server_name, client_version,
next_protocol, cipher, ja3, established, sensor_uid
DA network.ssl
WHERE ja3 = 'e7d705a3286e19ea42f587b344ee6865' AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
Creare una procedura standardizzata di individuazione delle minacce con Vectra AI
La ricerca delle minacce offre il massimo valore quando viene resa operativa, integrata come pratica regolare anziché come esercizio reattivo e sporadico. Le query contenute in questa guida rappresentano dei punti di partenza. L'obiettivo è adattarle al proprio ambiente, conservare le varianti più efficaci e integrarle in cicli di ricerca strutturati.
Come implementare la caccia con la Vectra AI :
- Utilizza le "cacce" di 5 minuti per effettuare controlli rapidi e regolari sulle TTP ad alto rischio e sulla conformità
- Utilizza le ricerche salvate per creare una raccolta di query specifiche per l'ambiente
- Utilizza la ricerca assistita dall'intelligenza artificiale per accelerare i cambiamenti di direzione nelle indagini e visualizzare i passi successivi consigliati in un linguaggio semplice
- Invia nuove query e entra in contatto con la più ampia comunità tramite il repository GitHub Vectra AI Hunting
L'esperienza acquisita grazie a un'attività di ricerca costante rappresenta un fattore moltiplicatore in termini operativi durante la risposta agli incidenti: i team che svolgono regolarmente attività di ricerca indagano più rapidamente, effettuano una valutazione delle priorità con maggiore precisione e contengono le minacce prima che queste si aggravino.
