Охотник за угрозами
Что такое Охотник за угрозами?
Охотник за угрозамиСтарший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику.
Охотник за угрозами — это старший защитник, проактивно ищущий вредоносную активность, ускользнувшую от автоматических детекций. Работа строится на гипотезах: отталкиваясь от техник MITRE ATT&CK, отчётов threat intelligence или аномалий относительно базовых линий, охотник перемещается по телеметрии EDR, SIEM, идентичностей, облака и сети, подтверждая или опровергая присутствие противника. Он тесно работает с инженерами детектирования, превращая успешные охоты в устойчивые правила, и с инцидент-респондерами, когда охота перерастает в расследование. Роль обычно входит в SOC или отдельную группу киберобороны и подчиняется руководителю SOC или главе детектирования. Типичные требования — несколько лет опыта в SOC Tier 2/3 или DFIR, а также сертификаты GCFA, GCDA, GCIH или CRTO.
● Примеры
- 01
Поиск во всём парке EDR бинарей living-off-the-land, которыми злоупотребляют партнёры ransomware-программ.
- 02
Поиск в облачных журналах аудита необычных межаккаунтных цепочек assume-role, связанных с недавними TTP Cozy Bear.
● Частые вопросы
Что такое Охотник за угрозами?
Старший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику. Относится к категории Роли и карьера в кибербезопасности.
Что означает Охотник за угрозами?
Старший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику.
Как работает Охотник за угрозами?
Охотник за угрозами — это старший защитник, проактивно ищущий вредоносную активность, ускользнувшую от автоматических детекций. Работа строится на гипотезах: отталкиваясь от техник MITRE ATT&CK, отчётов threat intelligence или аномалий относительно базовых линий, охотник перемещается по телеметрии EDR, SIEM, идентичностей, облака и сети, подтверждая или опровергая присутствие противника. Он тесно работает с инженерами детектирования, превращая успешные охоты в устойчивые правила, и с инцидент-респондерами, когда охота перерастает в расследование. Роль обычно входит в SOC или отдельную группу киберобороны и подчиняется руководителю SOC или главе детектирования. Типичные требования — несколько лет опыта в SOC Tier 2/3 или DFIR, а также сертификаты GCFA, GCDA, GCIH или CRTO.
Как защититься от Охотник за угрозами?
Защита от Охотник за угрозами обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Охотник за угрозами?
Распространённые альтернативные названия: Киберохотник, Adversary hunter.
● Связанные термины
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- roles№ 989
Аналитик безопасности (SOC Tier 1/2/3)
Сотрудник центра операций безопасности, отслеживающий оповещения, расследующий инциденты и эскалирующий угрозы; обычно работа выстроена по уровням от Tier 1 (первичная сортировка) до Tier 3 (углублённое расследование).
- roles№ 523
Инцидент-респондер
Специалист, который ведёт или поддерживает техническое реагирование на подтверждённые инциденты безопасности — сдерживание, ликвидацию, форензику и восстановление — координируясь с юристами, коммуникациями и руководством.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 057
APT-группа
Именованный и отслеживаемый субъект угроз (как правило, при государственной поддержке), ведущий целенаправленные, длительные и обеспеченные кампании против отдельных организаций или отраслей.