Охотник за угрозами
Что такое Охотник за угрозами?
Охотник за угрозамиСтарший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику.
Охотник за угрозами — это старший защитник, проактивно ищущий вредоносную активность, ускользнувшую от автоматических детекций. Работа строится на гипотезах: отталкиваясь от техник MITRE ATT&CK, отчётов threat intelligence или аномалий относительно базовых линий, охотник перемещается по телеметрии EDR, SIEM, идентичностей, облака и сети, подтверждая или опровергая присутствие противника. Он тесно работает с инженерами детектирования, превращая успешные охоты в устойчивые правила, и с инцидент-респондерами, когда охота перерастает в расследование. Роль обычно входит в SOC или отдельную группу киберобороны и подчиняется руководителю SOC или главе детектирования. Типичные требования — несколько лет опыта в SOC Tier 2/3 или DFIR, а также сертификаты GCFA, GCDA, GCIH или CRTO.
● Примеры
- 01
Поиск во всём парке EDR бинарей living-off-the-land, которыми злоупотребляют партнёры ransomware-программ.
- 02
Поиск в облачных журналах аудита необычных межаккаунтных цепочек assume-role, связанных с недавними TTP Cozy Bear.
● Частые вопросы
Что такое Охотник за угрозами?
Старший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику. Относится к категории Роли и карьера в кибербезопасности.
Что означает Охотник за угрозами?
Старший защитник, который проактивно ищет в корпоративной телеметрии следы активности противника, обошедшей существующие детекции, опираясь на гипотезы, threat intelligence и поведенческую аналитику.
Как защититься от Охотник за угрозами?
Защита от Охотник за угрозами обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Охотник за угрозами?
Распространённые альтернативные названия: Киберохотник, Adversary hunter.