威胁猎手
威胁猎手 是什么?
威胁猎手资深防御人员,基于假设、威胁情报与行为分析,主动在企业遥测中搜寻已绕过现有检测的攻击者活动。
威胁猎手是一名资深防御者,主动搜寻已绕过自动检测的恶意活动。其工作以假设驱动:以 MITRE ATT&CK 技术、威胁情报报告或基线异常为起点,在 EDR、SIEM、身份、云与网络遥测之间纵向穿梭,以确认或排除攻击者存在。威胁猎手与检测工程师紧密合作,将成功的狩猎转化为长期有效的检测规则;在狩猎升级为调查时,与事件响应人员协同工作。该岗位通常隶属 SOC 或专门的网络防御团队,向 SOC 经理或检测负责人汇报。常见资历包括数年 Tier 2/3 SOC 或 DFIR 经验,以及 GCFA、GCDA、GCIH、CRTO 等认证。
● 示例
- 01
在 EDR 资产范围内,搜寻被勒索软件附属团伙滥用的 living-off-the-land 二进制文件。
- 02
在云审计日志中查找与近期 Cozy Bear TTP 相关的异常跨账户 assume-role 链。
● 常见问题
威胁猎手 是什么?
资深防御人员,基于假设、威胁情报与行为分析,主动在企业遥测中搜寻已绕过现有检测的攻击者活动。 它属于网络安全的 角色与职业 分类。
威胁猎手 是什么意思?
资深防御人员,基于假设、威胁情报与行为分析,主动在企业遥测中搜寻已绕过现有检测的攻击者活动。
威胁猎手 是如何工作的?
威胁猎手是一名资深防御者,主动搜寻已绕过自动检测的恶意活动。其工作以假设驱动:以 MITRE ATT&CK 技术、威胁情报报告或基线异常为起点,在 EDR、SIEM、身份、云与网络遥测之间纵向穿梭,以确认或排除攻击者存在。威胁猎手与检测工程师紧密合作,将成功的狩猎转化为长期有效的检测规则;在狩猎升级为调查时,与事件响应人员协同工作。该岗位通常隶属 SOC 或专门的网络防御团队,向 SOC 经理或检测负责人汇报。常见资历包括数年 Tier 2/3 SOC 或 DFIR 经验,以及 GCFA、GCDA、GCIH、CRTO 等认证。
如何防御 威胁猎手?
针对 威胁猎手 的防御通常结合技术控制与运营实践,详见上方完整定义。
威胁猎手 还有哪些其他名称?
常见的别称包括: 网络威胁猎手, 对手猎手。
● 相关术语
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- roles№ 989
安全分析师(SOC Tier 1/2/3)
在安全运营中心负责监控告警、调查事件并升级威胁的专业人员,通常按从 Tier 1 初级分诊到 Tier 3 高级调查的等级划分。
- roles№ 523
事件响应人员
在确认发生的安全事件中主导或协助技术应对的专业人员,负责遏制、清除、取证分析与恢复,并与法务、公关、管理层紧密协作。
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。