Caçador de ameaças
O que é Caçador de ameaças?
Caçador de ameaçasDefensor sénior que procura proativamente, na telemetria da organização, atividade de adversários que escapou às deteções existentes, com base em hipóteses, threat intelligence e análise comportamental.
Um caçador de ameaças (threat hunter) é um defensor sénior que procura proativamente atividade maliciosa que escapou às deteções automatizadas. O trabalho é guiado por hipóteses: partindo de técnicas MITRE ATT&CK, relatórios de threat intelligence ou anomalias face a baselines, o caçador percorre telemetria de EDR, SIEM, identidade, cloud e rede para confirmar ou afastar a presença de um adversário. Colabora de perto com os detection engineers para transformar caçadas bem-sucedidas em deteções duradouras e com os incident responders quando uma caçada se torna uma investigação. O papel está normalmente integrado no SOC ou numa equipa dedicada de ciberdefesa, reportando ao gestor de SOC ou ao head of detection. As qualificações habituais incluem vários anos em SOC Tier 2/3 ou DFIR e certificações como GCFA, GCDA, GCIH ou CRTO.
● Exemplos
- 01
Caçar, em toda a frota EDR, binários living-off-the-land abusados por afiliados de ransomware.
- 02
Procurar nos logs de auditoria da cloud cadeias incomuns de assume-role entre contas ligadas a TTPs recentes do Cozy Bear.
● Perguntas frequentes
O que é Caçador de ameaças?
Defensor sénior que procura proativamente, na telemetria da organização, atividade de adversários que escapou às deteções existentes, com base em hipóteses, threat intelligence e análise comportamental. Pertence à categoria Funções e carreiras da cibersegurança.
O que significa Caçador de ameaças?
Defensor sénior que procura proativamente, na telemetria da organização, atividade de adversários que escapou às deteções existentes, com base em hipóteses, threat intelligence e análise comportamental.
Como funciona Caçador de ameaças?
Um caçador de ameaças (threat hunter) é um defensor sénior que procura proativamente atividade maliciosa que escapou às deteções automatizadas. O trabalho é guiado por hipóteses: partindo de técnicas MITRE ATT&CK, relatórios de threat intelligence ou anomalias face a baselines, o caçador percorre telemetria de EDR, SIEM, identidade, cloud e rede para confirmar ou afastar a presença de um adversário. Colabora de perto com os detection engineers para transformar caçadas bem-sucedidas em deteções duradouras e com os incident responders quando uma caçada se torna uma investigação. O papel está normalmente integrado no SOC ou numa equipa dedicada de ciberdefesa, reportando ao gestor de SOC ou ao head of detection. As qualificações habituais incluem vários anos em SOC Tier 2/3 ou DFIR e certificações como GCFA, GCDA, GCIH ou CRTO.
Como se defender contra Caçador de ameaças?
As defesas contra Caçador de ameaças costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Caçador de ameaças?
Nomes alternativos comuns: Threat hunter, Caçador de adversários.
● Termos relacionados
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
- roles№ 989
Analista de segurança (SOC Tier 1/2/3)
Profissional de um SOC que monitoriza alertas, investiga incidentes e escala ameaças, com uma hierarquia habitual que vai da triagem em Tier 1 à investigação avançada em Tier 3.
- roles№ 523
Responder de incidentes
Especialista que lidera ou apoia a resposta técnica a incidentes de segurança confirmados, executando contenção, erradicação, análise forense e recuperação, em coordenação com jurídico, comunicação e direção.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 057
Grupo APT
Ator de ameaca identificado e rastreado (geralmente apoiado por um Estado) que conduz campanhas direcionadas, prolongadas e bem financiadas contra organizacoes ou setores especificos.