什么是威胁狩猎？

Question

能否请任何人描述什么是威胁追捕，以及如何进行/部署/监测？它类似于具有更高级和自动化用例的SIEM系统吗？

我浏览了谷歌搜索结果和Wiki网页的威胁搜索，对我来说，这听起来类似于SIEM系统的一些自动化，ML，UEBA和OSINT。我在QRadar上工作过，我看到了很多新的ML用例--在QRadar UBA的定期更新中正在发布用例(我想其他暹粒产品也会出现同样的情况)。这增加了我对威胁追捕的困惑。

Answer 1

威胁搜索是通过网络、端点或数据集进行人工驱动、主动和迭代的搜索，以检测恶意、可疑或有风险的活动，从而避免使用现有的自动化工具进行检测。

您可以使用各种工具和技术来查找。这与某种工具/技术无关。你只要在你的系统上执行调查任务，就能发现隐藏的威胁/持续的攻击。

您可以检查Sqrrl论文以获得更好的理解。