2、威胁狩猎方法

在我们讨论威胁狩猎的定义之前，让我们通过说明什么不是威胁狩猎来澄清一些关于这个概念的误解。首先，威胁搜索不同于网络威胁情报(CTI)或事件响应(IR)，尽管它可以与网络威胁情报(CTI)或事件响应(IR)密切相关。CTI可能是一个很好的搜索起点。IR可能是组织在成功狩猎后的下一步。威胁搜索也不是安装探测工具，尽管这对提高它们的探测能力很有用。此外，它不是在组织的环境中寻找ioc;相反，你将寻找绕过已经被IoCs馈入的检测系统的东西。威胁搜索也不等同于监视，也不等同于在监视工具上随机运行查询。但是，最重要的是，威胁狩猎不是一项只能由一组精选的专家完成的任务。当然，专业知识很重要，但这并不意味着只有专家才能做到。一些威胁捕猎技术需要更长的时间才能掌握;有些是与事件响应和分诊共享的。这种做法本身已经存在多年，远早于它被称为“威胁狩猎”。进行狩猎的主要必要条件是知道问什么以及从哪里找到答案。