威胁狩猎与暹粒用例

Question

最近，我对威胁搜索与SIEM用例创建之间的关系感到困惑。

我读过的威胁搜索资源可以作为暹粒用例创建。那我为什么要以狩猎的名义手动执行呢？

狩猎和暹粒用例到底有什么不同？

Answer 1

狩猎与暹粒用例有何不同？

为了简单地分解这个问题并回答上面的问题，当您使用SIEMS处理警报和事件时，它涉及到一种反应性的方法。而对于威胁追捕，它则采用了一种更积极主动的方法。基本目标是领先于威胁，而不是处于威胁的接收端。仅仅这一点就将这两个专业的用例分离开来。

然而，威胁狩猎和暹粒应该能够共存，并强烈建议一起使用，而不是两者之一或。从您的组织/基础结构收集的数据可以用作一组基准和指南，并用于汇总所述数据以进行分析和寻找威胁。

简洁的威胁搜索指南，基本接触点

Answer 2

五年前，当我遇到“威胁追捕”这个词时，我感到困惑。它被当作某种高度专业化的需要特殊技能和技术的活动来对待和谈论。但是我把它看作是安全分析人员的基本活动:检查日志，寻找异常，并追踪那些看起来不太正确的东西。

从这个角度来看，这样做和设计新的暹粒用例没有什么区别，只是暹粒用例自动化了特定的过程。

然而，“威胁搜索”一词已经超出了其最初的含义，就像人们使用"AI“这个词时，他们真正的意思是”统计分析“。在某些情况下，寻找威胁可能意味着“日志分析”，也可能意味着“发现以前没有人发现过的东西”。

威胁搜索是对复杂数据的自由探索，以寻找异常模式。在它的纯形式下，它不能被自动化。

SIEM会自动进行特定的搜索和分析，通常是基于可能寻找特定模式的威胁搜索结果。SIEMs在复杂的数据中找不到新的模式；人类可以。

因此，这两项活动之间存在重叠，其中一项活动可能导致另一项活动。