КИБЕРВИКИПЕДИЯ
SECURITY VISION

Threat Hunting — это активный поиск скрытых киберугроз в сети, которые не были обнаружены автоматическими системами (например, продвинутые APT-атаки).

Подробное описание

Чем отличается от мониторинга в SOC?

• SOC ждет алертов от систем, а Threat Huntingсам ищет аномалии.
• Использует гипотезы(например: "А что если хакер уже внутри?").

Методы Threat Hunting:

1. На основе данных (Data-Driven)– анализ логов на аномалии.
2. На основе TTPs хакеров– поиск известных тактик (например, Mimikatz в памяти).
3. На основе угроз (Threat-Centric)– охота за конкретными группами (например, APT29).

Этапы охоты:

1. Формирование гипотезы("Хакеры могли проникнуть через фишинг").
2. Сбор данных(логи, метаданные, память).
3. Анализ(поиск IoCs – Indicators of Compromise).
4. Устранение угрозы.

Инструменты:

• SIEM + EDR
• Анализаторы памяти (Volatility)
• Скрипты для парсинга логов (Python)

Бытовые аналогии:

1. Детектив с фонариком в темной комнате– ищет то, что скрыто.
2. Врач, ищущий редкую болезнь– когда анализы в норме, но пациент болен.
3. Сапер, проверяющий здание на мины– проактивный поиск угроз.
4. Охотник в лесу– выслеживает цель по следам.
5. Редактор, ищущий ошибки в тексте– которые не поймал Word.
6. Астроном, ищущий новую планету– анализирует данные телескопов.
7. Криминалист, находящий улики на месте преступления.
8. Фермер, ищущий вредителей в посевах до того, как они нанесут урон.
9. Капитан корабля с сонаром– ищет подводные препятствия.
10. Археолог с металлоискателем– целенаправленно ищет артефакты.