脅威ハンター
脅威ハンター とは何ですか?
脅威ハンター既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。
脅威ハンターは、自動検知をすり抜けた悪意ある活動を能動的に探し出すシニア防御担当者です。MITRE ATT&CK のテクニック、脅威インテリジェンスレポート、ベースラインからの逸脱などを出発点に仮説を立て、EDR・SIEM・アイデンティティ・クラウド・ネットワークの各テレメトリを行き来しながら、敵対者の存在を確認または否定します。成功したハンティングを恒久的な検知ルールに転換するため検知エンジニアと協働し、ハンティングが調査へ発展した際にはインシデントレスポンダーと連携します。多くの場合は SOC や専門のサイバーディフェンスチームに所属し、SOC マネージャーまたは検知責任者にレポートします。一般的な要件は Tier 2/3 SOC または DFIR で数年の経験、GCFA・GCDA・GCIH・CRTO などの資格です。
● 例
- 01
ランサムウェアのアフィリエイトに悪用される living-off-the-land バイナリを EDR 資産全体で探す。
- 02
Cozy Bear の最近の TTP に関連する、異常なクロスアカウント assume-role 連鎖をクラウド監査ログから探索する。
● よくある質問
脅威ハンター とは何ですか?
既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。 サイバーセキュリティの 役割とキャリア カテゴリに属します。
脅威ハンター とはどういう意味ですか?
既存の検知をすり抜けた攻撃者の活動を、企業のテレメトリから仮説駆動・脅威情報・振る舞い分析を用いて能動的に探し出すシニア防御担当者。
脅威ハンター からどのように防御しますか?
脅威ハンター に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
脅威ハンター の別名は何ですか?
一般的な別名: サイバー脅威ハンター, アドバーサリーハンター。