威胁狩猎

Q: 威胁狩猎 是什么?

基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 威胁狩猎?

针对 威胁狩猎 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

威胁狩猎是什么?

威胁狩猎基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。

威胁狩猎是一门"先假设系统已被攻陷,然后主动找证据"的学科。分析师根据 TTPs、威胁情报或已知薄弱点提出假设,然后在 EDR、SIEM、网络与云遥测中查询,以验证或推翻这些假设。与被动的、由告警驱动的研判不同,狩猎是迭代且探索性的;其目标是发现正在发生的入侵以及应转化为自动规则的检测盲区。成熟的项目使用 PEAK 等方法论或基于 MITRE ATT&CK 的假设驱动狩猎。产出包括狩猎报告、新检测规则,以及对日志和可视化能力的改进建议。

● 示例

01
在 Microsoft 365 中针对过去 30 天的不可能位置登录进行狩猎。
02
搜寻合法签名程序异常加载未签名 DLL 的主机(DLL 旁加载)。

● 常见问题

威胁狩猎是什么?

基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。它属于网络安全的防御与运营分类。

威胁狩猎是什么意思?

基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。

如何防御威胁狩猎?

针对威胁狩猎的防御通常结合技术控制与运营实践,详见上方完整定义。

威胁狩猎

威胁狩猎是什么?

● 示例

● 常见问题

● 相关术语

● 另见

威胁狩猎 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

威胁狩猎是什么?