如果說攻擊者所依賴的是什么，那就是進入組織內部并避免發(fā)現。在網絡內部發(fā)現惡意活動類似于在針堆中找到特定的針。組織努力獲取對內部“東西向”流量的可見性以進行威脅檢測。有些開始于在網絡內部部署IDS以檢測惡意流量，而另一些則使用內部防火墻阻止它。諸如UEBA之類的解決方案嘗試分析收集的數據并識別可疑或惡意活動，而EDR解決方案則鎖定端點以獲取可見性并拒絕攻擊者立足。這些方法存在錯誤性警報問題，并且無需進行任何調整即可消除它們。

[[281972]]

此外，這些解決方案還可以從直接分析中提取實際的網絡流量，使用其內部機制輸出結果。如果目標是內部可見性，為什么不直接查看網絡流量進行數據包捕獲并進行分析?

幾種安全解決方案捕獲和分析網絡流量以進行檢測，分析和回放。這不僅使人們可以了解正在穿越網絡的內容，而且還提供了巨大的取證價值，例如完整的標頭信息和封裝的有效載荷。熟練的憑證檢查員可以提取具有足夠的數據包捕獲(pcap)文件的二進制文件，命令和其他數據。這些解決方案中的許多解決方案都可以即時讀取和標記pcap，并通過匹配預加載或自定義簽名來警告何時檢測到潛在的惡意流量。

盡管它們還存在誤報警報問題，但它們提供的功能使分析人員可以搜索Packet Captures數據存儲區(qū)和模式匹配以查找特定的IoC，或重播流量以檢查發(fā)生了什么。例如，分析人員可以重播會話數據，并觀察攻擊者在通過RDP訪問的受感染系統(tǒng)上的操作。我將這種工具用作司法鑒定的一部分，并發(fā)現它非常有用。但是，它需要經驗和完善的分析技能來查找和解釋pcap數據并提取相關信息以進行調查。

此外，就像大數據分析一樣，這些解決方案需要大量的存儲功能來容納足夠的pcap文件，以占據足夠長的調查時間。如果考慮到在任何給定時刻有多少流量通過網絡，并且這些解決方案必須捕獲足夠的pcap以最有效地覆蓋調查，那么很快就會意識到存儲是限制因素。希望重播兩周之久的流量的分析人員必須希望該解決方案具有可用的Packet Captures。盡管SOC可以設計解決方案以使其丟棄不相關的數據，但過濾量限制了分析人員可以使用的保真度。例如，過濾掉OT網絡段上的流量可以節(jié)省存儲空間，但是SOC失去了那些精明的攻擊者可以長時間隱藏的那些段的可見性。

人們總是可以花更多的錢在存儲容量上或將其卸載到云上，但是增加收益只是為了為pcap存儲增加更多的SAN容量，而將數千兆字節(jié)的數據轉儲到云中則需要下載它進行分析。它給SOC提供的可見性非常出色畢竟，人們正在查看實際的網絡流量以發(fā)現可疑活動，但是其技能和存儲要求使其非常占用資源。

在完整的網絡流量和分析都依賴分析人員積極地尋找威脅的情況下，才能找到不良行為者，而欺騙平臺則采用為他們設置陷阱的方法。想象一下，通過一個誘餌和其他欺騙性資產(與生產端點，服務器，設備，應用程序，服務或數據相匹配)創(chuàng)建一個“暮光區(qū)域”網絡。誘餌環(huán)境的價值在于這樣一個事實，因為它沒有生產價值，并且對于常規(guī)操作是不可見的，因此沒有人可以與之互動。與誘餌的任何交互都是配置錯誤，違反策略或未經授權的發(fā)現活動的結果，因此無需擔心誤報。有了足夠的真實誘餌資產，

一旦攻擊者使用誘餌系統(tǒng)，服務，應用程序或數據片段，欺騙平臺就會提醒其存在并記錄其活動。誘餌捕獲攻擊者在誘餌的磁盤，內存空間和網絡接口上的所有活動，以捕獲丟棄的文件，識別內存中的臨時網絡連接和進程并生成pcap。該平臺使這些可用于脫機分析，這意味著分析人員可以利用SOC使用的相同分析工具來分析欺騙平臺中的取證工件和數據包捕獲。此外，由于欺騙平臺提供的是惡意活動的積極記錄，因此無需梳理無關的pcap。