脅威ハンター
脅威ハンター とは何ですか?
脅威ハンター既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。
脅威ハンターは、自動検知をすり抜けた悪意ある活動を能動的に探し出すシニア防御担当者です。MITRE ATT&CK のテクニック、脅威インテリジェンスレポート、ベースラインからの逸脱などを出発点に仮説を立て、EDR・SIEM・アイデンティティ・クラウド・ネットワークの各テレメトリを行き来しながら、敵対者の存在を確認または否定します。成功したハンティングを恒久的な検知ルールに転換するため検知エンジニアと協働し、ハンティングが調査へ発展した際にはインシデントレスポンダーと連携します。多くの場合は SOC や専門のサイバーディフェンスチームに所属し、SOC マネージャーまたは検知責任者にレポートします。一般的な要件は Tier 2/3 SOC または DFIR で数年の経験、GCFA・GCDA・GCIH・CRTO などの資格です。
● 例
- 01
ランサムウェアのアフィリエイトに悪用される living-off-the-land バイナリを EDR 資産全体で探す。
- 02
Cozy Bear の最近の TTP に関連する、異常なクロスアカウント assume-role 連鎖をクラウド監査ログから探索する。
● よくある質問
脅威ハンター とは何ですか?
既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。 サイバーセキュリティの 役割とキャリア カテゴリに属します。
脅威ハンター とはどういう意味ですか?
既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。
脅威ハンター はどのように機能しますか?
脅威ハンターは、自動検知をすり抜けた悪意ある活動を能動的に探し出すシニア防御担当者です。MITRE ATT&CK のテクニック、脅威インテリジェンスレポート、ベースラインからの逸脱などを出発点に仮説を立て、EDR・SIEM・アイデンティティ・クラウド・ネットワークの各テレメトリを行き来しながら、敵対者の存在を確認または否定します。成功したハンティングを恒久的な検知ルールに転換するため検知エンジニアと協働し、ハンティングが調査へ発展した際にはインシデントレスポンダーと連携します。多くの場合は SOC や専門のサイバーディフェンスチームに所属し、SOC マネージャーまたは検知責任者にレポートします。一般的な要件は Tier 2/3 SOC または DFIR で数年の経験、GCFA・GCDA・GCIH・CRTO などの資格です。
脅威ハンター からどのように防御しますか?
脅威ハンター に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
脅威ハンター の別名は何ですか?
一般的な別名: サイバー脅威ハンター, アドバーサリーハンター。
● 関連用語
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- roles№ 989
セキュリティアナリスト(SOC Tier 1/2/3)
SOC でアラートを監視し、インシデントを調査・エスカレーションする専門職。一般に Tier 1 の一次対応から Tier 3 の高度調査までのレベル分けが行われる。
- roles№ 523
インシデントレスポンダー
確定したセキュリティインシデントに対する技術対応を主導または支援し、封じ込め・根絶・フォレンジック・復旧を行いつつ、法務・広報・経営陣と連携する専門職。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- defense-ops№ 057
APT グループ
ベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。