Caça a Ameaças
O que é Caça a Ameaças?
Caça a AmeaçasBusca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
A caça a ameaças é a disciplina de assumir o comprometimento e procurá-lo ativamente. Os analistas formulam hipóteses com base em TTPs, inteligência de ameaças ou fraquezas conhecidas e consultam telemetria de EDR, SIEM, rede e nuvem para confirmá-las ou refutá-las. Diferente da triagem, reativa e orientada por alertas, a caça é iterativa e exploratória; busca descobrir intrusões ativas e lacunas de detecção que devem virar novas regras automatizadas. Programas maduros adotam metodologias como o framework PEAK ou caçadas baseadas em hipóteses alinhadas ao MITRE ATT&CK. Os entregáveis incluem relatórios de caça, novas detecções e melhorias em logs e visibilidade.
● Exemplos
- 01
Caçar logins de viagem impossível no Microsoft 365 nos últimos 30 dias.
- 02
Procurar hosts em que um binário assinado legítimo carrega de forma incomum uma DLL não assinada (DLL sideloading).
● Perguntas frequentes
O que é Caça a Ameaças?
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Caça a Ameaças?
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
Como se defender contra Caça a Ameaças?
As defesas contra Caça a Ameaças costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.