Cyber Threat Hunting，應該是可以翻譯威脅獵捕或是威脅狩獵、內部入侵行為分析吧。

對「我」來說這是一個很微妙的一個領域(?!
因為看過一些Threat Hunting相關的文章、或是聽過一些演講的分享，
還有參加了資安大會時奧義智慧開的Lab，有接觸了一下他們的產品。

經常都覺得Threat Hunting，
對我來說是一個近在咫尺，卻又遠在天邊的東西。
我自己主要熟悉是滲透測試，平常也都會看許多的資安新聞與事件。
Threat Hunting當中的各項名詞或是流程，乍看之下我都覺得不陌生，
可是實際上真要開始做，或是該怎麼著手分析，卻又幾乎都是沒有概念。

至於職缺來說，我自己是不確定是否會有Threat Hunting直接相關的職缺，
但是台灣的確有不少公司都有發展或是代理Threat Hunting相關的產品，
或是該有該性質產品的公司，裡面的資安研究員應該會需要具備相關知識吧（我猜der

今天內容也是一樣在網路上東翻西找的零碎文章中拼湊而成的。

照慣例，每篇文章都會附上第一篇的文章，讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麼是威脅狩獵（Cyber Threat Hunting）？（以下簡稱TH）

是一種主動式的防禦策略與技術，利用一些資訊蒐集、威脅情報，來去掌握可能存在的攻擊者與攻擊行為，並且進一步去阻止或是預防這些風險的發生。並且這些可能的攻擊行為，通常是傳統的防禦設備無法偵測與阻擋的。

2.SOC跟TH有甚麼區別？

SOC是被動式的防禦，主要在於進行日常的監控與警報，還有如何處理所遇到的各種事件；而TH則是主動式的防禦，TH可以基於一些數據、情報及線索，在沒有警報的情況下，提前掌握可能的攻擊以及威脅。

3.TH有甚麼好處？

先發制人（？，不要等到事件發生才處理。並且有些惡意網域、惡意攻擊、APT，可能是傳統防火牆、入侵偵測系統(IDS/IPS)、防毒軟體無法成功偵測防禦的，可以利用TH來達成預防。

4.描述一下TH的流程

監控 -> 篩選 -> 調查&A追蹤 -> 回饋

參考奧義智慧先前資安大會的一份簡報
https://s.itho.me/ccms_slides/2021/5/18/7f7294fc-1819-405b-a082-756cf93dafad.pdf

5.甚麼是IOC威脅指標

算是網路攻擊或是惡意行為發生的證據指標(?，可以透過已知的IoC來去檢測、預防惡意行為與攻擊。

6.甚麼是STIX及TAXII

是基於XML格式協助組織之間達到共享情報資源的一種標準化語言。

7.你覺得TH需要甚麼樣的基礎知識與技能？

基本的網路知識
了解攻擊手法(例如熟悉ATT&CK框架)
分析數據的能力
...

8.甚麼是威脅情報？

包含像是資安事件、漏洞、OSINT(公開情報)、或是像暗網上的未公開情報都算。

9.威脅情報當中的痛苦金字塔（pyramid of pain）是甚麼？

可以協助了解那些特徵或是情報，對於獵捕攻擊者最有價值。或者是反過來說，知道那些惡意特徵，對於防守人員來說是更有利的。

10.描述一下你知道的常用的威脅追蹤技術？

Searching／Clustering／Grouping／Stack Counting

11.你有用過甚麼樣的TH工具或產品？

12.你覺得工具或產品當中需要具備甚麼樣的特徵或功能

抱歉今天內容比我想像中的少QQ
因為睡太晚，待會要出門(不知道幾點才回來)，
時間倉促的情況下，沒辦法好好花費時間好好寫完。
今天就這樣了！

若有要補充也都歡迎留言