search close

平台
- Vision One 平台
  - Vision One 平台
    - Trend Vision One™
      
      平台
      
      連繫威脅防護及網絡風險管理
      進一步了解
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      Marketplace
      
      瀏覽趨勢科技認可的合作夥伴方案，了解我們領導業界的平台
      進一步了解
  - 部署選項
    - Trend Vision One™
      
      部署選項
      
      為您的環境作選擇 – 以 SaaS 或客戶託管形式部署 Trend Vision One™
      查看更多資源
- 網絡風險曝險管理
  - Trend Vision One™
    
    網絡風險曝險管理
    
    曝險管理領導廠商 - 將網絡風險視野轉化為果斷主動的保安
    進一步了解
- Security Operations
  - Trend Vision One™
    
    Security Operations (SecOps)
    
    以 XDR、Agentic SIEM 及 Agentic SOAR 情報帶來的強大視野阻截威脅，令攻擊者無所遁形。
    進一步了解
- 雲端保安
  - 雲端保安
    - Trend Vision One™
      
      雲端防護
      
      最受開發師、保安團隊及商界信賴的雲端保安平台
      進一步了解
  - 雲端專用 XDR
    - Trend Vision One™
      
      雲端專用 XDR
      
      將視野擴展至雲端及簡化保安運作中心調查任務
      進一步了解
  - 雲端工作負載防護
    - Trend Vision One™
      
      工作負載保安
      
      以帶有 CNAPP 功能的雲端保安平台保護您的數據中心、雲端及容器，而無須犧牲系統效能或保安
      進一步了解
  - 容器保安
    - Trend Vision One™
      
      容器防護
      
      以先進的容器影像掃瞄、政策為基登入管制及容器運作期保護來簡化雲端原生應用程式的保安
      進一步了解
  - 檔案保安
    - Trend Vision One™
      
      檔案保安
      
      保護應用程式作業流程及雲端儲存免於進階威脅
      進一步了解
  - 雲端風險管理
    - Trend Vision One™
      
      雲端風險管理
      
      整合多重雲視野、消除隱藏風險及保障未來
      進一步了解
  - Code Security
    - Trend Vision One™
      
      Code Security
      
      主動防護軟件開發週期的每個階段
      進一步了解
- 用戶端防護
  - 用戶端防護
    - Trend Vision One™
      
      用戶端保安
      
      在攻擊的每一階段保護用戶端
      進一步了解
  - 用戶端專用 XDR
    - Trend Vision One™
      
      用戶端專用 XDR
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 工作負載保安
    - Trend Vision One™
      
      工作負載保安
      
      為用戶端、伺服器及雲端工作負載提供最佳化的預防、偵測與回應
      進一步了解
- 網絡防護
  - 網絡防護
    - Trend Vision One™
      
      網絡防護
      
      以網絡偵測與回應擴展 XDR 的能力
      進一步了解
  - XDR for Network （NDR）
    - Trend Vision One™
      
      XDR for Network （NDR）
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 網絡入侵防禦
    - 網絡入侵防禦
      
      解決網絡上已知、未知及未公開的漏洞。
      進一步了解
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        以持續風險評估重新定義可信任及安全的數碼轉型
        進一步了解
    - AI Secure Access
      - AI Secure Access
        
        確保每個生成式人工智能服務、用戶及互動的統一視野及管控
        進一步了解
  - 5G 網絡保安
    - 5G 網絡保安
      進一步了解
  - 工業網絡保安
    - 工業網絡保安
      進一步了解
- 威脅情報
  - Trend Vision One™
    
    威脅情報
    
    預先知道威脅來臨
    進一步了解
- Identity Security
  - Trend Vision One™
    
    身份防護
    
    端對端身份防護，由身份狀況管理以至偵測與回應
    進一步了解
- 資料防護
  - Trend Vision One™
    
    資料防護
    
    透過集中式視野、智能風險優先排序及快速回應功能來預先防範資料外洩。
    進一步了解
- 人工智能保安
  - 人工智能保安
    - 趨勢科技人工智能
      
      探索專為保護企業、支援合規並實現負責任創新而設計的人工智能方案
      進一步了解
  - 專為人工智能組合設計的防護
    - 專為人工智能組合設計的防護
      
      保護您的人工智能之程，在攻擊發生之前預先消除漏洞，讓您安心創新。
      進一步了解
  - 人工智能生態系統
    - 人工智能生態系統
      
      透過人工智能創新、法規領導層及值得信賴的標準來塑造網絡資訊保安的未來
      進一步了解
  - 主動式人工智能保安
    - 主動式人工智能保安
      
      採用業界首創的主動式網絡資訊保安人工智能來強化您的防禦，無盲點、無意外
      主動式人工智能保安
  - Trend Cybertron
    - Trend Cybertron
      
      業界首創的主動式網絡保安人工智能
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      運用無可比擬的資料廣度與深度、高品質分析、整理與標示，提供有意義的可用啟示
      進一步了解
  - 人工智能工廠
    - 人工智能工廠
      
      透過資訊保安、合規與信任來加速企業人工智能部署。
      進一步了解
  - 數碼分身
    - 數碼分身
      
      高準度數碼分身可實現預測性規劃、策略投資，以及最佳化韌性
      進一步了解
- 所有產品、服務及試用
  - 所有產品、服務及試用
    進一步了解
- Email and Collaboration Security
  - Trend Vision One™
    
    Email and Collaboration Security
    
    以人工智能電郵防護來防範網絡釣魚、商務電郵詐騙、勒索程式及欺詐，以快速、簡易及精準方式阻截威脅
    進一步了解
方案
- 針對業界
  - 針對業界
    - 針對業界
      進一步了解
  - 醫療保健及生命科學
    - 醫療保健及生命科學
      
      防止威脅破壞護理
      進一步了解
  - 工業、能源及製造
    - 工業、能源及製造
      
      保持營運、保護安全及確保持續性
      進一步了解
  - 教育界
    - 教育界
      
      以人工智能驅動視野及自動化保護常時按需學習
      進一步了解
  - 政府機關
    - 政府機關
      
      以人工智能驅動的保安來防範國家威脅、加速合規及保護混合環境
      進一步了解
- 中小型企業保安
  - 中小型企業保安
    
    以專門助您拓展業務而設的簡單方案來攔截威脅
    進一步了解
- 網絡保險
  - 網絡保險
    - 網絡保險
      
      投保資訊安全保險來提升您的數碼安全與私隱
      進一步了解
  - 入侵前服務
    - 入侵前服務
      
      採用入侵前評估服務來強化網絡防禦
      進一步了解
  - 可保性
    - 可保性
      
      趨勢科技如何透過多種功能來協助建立受保資格。
      進一步了解
  - 入侵輔導
    - 網絡安全違規輔導員
      
      利用資料外洩輔導員來盡量降低風險並發揮最大的防護
      進一步了解
  - 事故回應策劃
    - 事故回應策劃
      
      利用事故回應策劃來擊退網絡保安威脅
      進一步了解
  - Invision Cyber
    - Invision Cyber
      
      智能、風險為基承保範圍，專為您的保安狀況而度身打造
      進一步了解
研究
- 研究
  - 研究
    - 研究
      進一步了解
  - 研究、新聞及觀點
    - 研究、新聞及觀點
      進一步了解
  - 研究與分析
    - 研究與分析
      進一步了解
  - 資訊保安新聞
    - 資訊保安新聞
      進一步了解
  - ZDI 漏洞懸賞計畫
    - ZDI 漏洞懸賞計畫
      進一步了解
服務
- 我們的服務
  - 我們的服務
    - 我們的服務
      
      讓值得信賴的網絡保安專家來擴展您的團隊，預測、預防及管理資料外洩事件。
      進一步了解
  - 服務組合
    - 服務組合
      
      以全天候託管式偵測、回應及支援服務強化保安團隊
      進一步了解
  - 資訊保安風險顧問報告
    - 資訊保安風險顧問報告
      
      透過策略指引來評估、了解及防範網絡保安風險。
      進一步了解
  - 託管偵測與回應（MDR）
    - 託管偵測與回應（MDR）
      
      以專業的託管式偵測與回應（MDR）強化對電郵、用戶端、伺服器、雲端工作負載及網絡威脅的偵測。
      進一步了解
  - 事故回應
    - 事故回應
      - 事故回應
        
        無論您需要對應入侵或主動改善事故回應計劃，我們備受信賴的專家都準備就緒，隨時候命
        進一步了解
    - 保險承保單位及律師事務所
      - 保險承保單位及律師事務所
        
        以市場上最佳的回應與偵測技術來阻止入侵，減低客戶的停機時間及索償。
        進一步了解
  - 紅隊及紫隊
    - 紅隊及紫隊
      
      體驗現實世界的攻擊場景，以建立準備狀態及強化防禦
      進一步了解
  - 支援服務
    - 支援服務
      進一步了解
業務夥伴
- 業務夥伴計劃
  - 業務夥伴計劃
    - 業務夥伴計劃總覽
      
      利用業界最佳的多層次保安來擴充業務及保護您的客戶
      進一步了解
  - 業務夥伴能力
    - 業務夥伴能力
      
      以展現專業知識的能力來脫穎而出
      進一步了解
  - 業務夥伴案例
    - 業務夥伴案例
      進一步了解
  - 服務商（xSP）
    - 服務商（xSP）
      
      採用單一、合作夥伴導向的防護平台來提供主動式防護服務，專為 MSP、MSSP 及 DFIR 團隊打造。
      進一步了解
- 策略聯盟夥伴
  - 策略聯盟夥伴
    - 策略聯盟夥伴
      
      我們與最頂尖的廠商合作來協助您創造最大的績效與價值。
      進一步了解
  - 科技策略聯盟夥伴
    - 科技策略聯盟夥伴
      進一步了解
  - 尋找策略聯盟夥伴
    - 尋找策略聯盟夥伴
      進一步了解
- 業務夥伴資源
  - 業務夥伴資源
    - 業務夥伴資源
      
      發掘專為加快企業成長及提升趨勢科技業務夥伴的能力而設計的資源
      進一步了解
  - 成為業務夥伴
    - 成為業務夥伴
      進一步了解
  - 業務夥伴入門網站登入
    - 業務夥伴入門網站登入
      登入
  - Trend Campus
    - Trend Campus
      
      Trend Campus 是一個簡單易用的教育平台，提供個人化技術指導，助您加速學習
      進一步了解
  - 聯合銷售
    - 聯合銷售
      
      取得專為協助您展示 Trend Vision One™ 價值及拓展業務而設的協作服務
      進一步了解
- 尋找業務夥伴
  - 尋找業務夥伴
    
    尋找可以購買趨勢科技方案的業務夥伴
    進一步了解
- Trend Vision One Marketplace
  - Trend Vision One™
    
    Marketplace
    
    瀏覽趨勢科技認可的合作夥伴方案以了解我們領導業界的平台
    進一步了解
公司
- 為何選擇趨勢科技
  - 為何選擇趨勢科技
    - 為何選擇趨勢科技
      進一步了解
  - 用戶案例
    - 用戶案例
      進一步了解
  - 業界盛譽
    - 業界盛譽
      進一步了解
  - 策略聯盟
    - 策略聯盟
      進一步了解
  - 人際連繫
    - 人際連繫
      進一步了解
- 用戶案例
  - 用戶案例
    - 用戶案例
      
      全球客戶如何使用趨勢科技來預測、預防、偵測及回應威脅的真實個案研究
      進一步了解
  - ESG 業務衝擊
    - ESG 業務衝擊
      
      看網絡保安韌性如何帶來可衡量的衝擊、更聰明的防禦及持續的效能。
      進一步了解
  - 客戶之聲
    - 客戶之聲
      
      直接聽聽我們的用戶怎樣說。他們的啟示塑造了我們的方案，並帶動持續改進。
      進一步了解
  - 人際連繫
    - 人際連繫
      
      認識資訊保安背後的人員：我們的團隊、客戶及改善數碼健康。
      進一步了解
- 趨勢科技方案的比較
  - 趨勢科技方案的比較
    - 趨勢科技方案的比較
      
      看趨勢科技如何較對手表現更佳
      繼續
  - 與 Crowdstrike 的比較
    - 趨勢科技與 Crowdstrike 的比較
      
      Crowdstrike 透過其雲原生平台提供有效率的網絡保安，但其價格可能會令用戶超出預算，特別影響希望尋找高性價比且可透過真正單一平台按需進行調整的機構。
      繼續
  - 與 Microsoft 的比較
    - 趨勢科技與 Microsoft 的比較
      
      Microsoft 提供一個基礎層面的防護，但通常都需要額外附加方案來全面對應腦戶的保安問題
      繼續
  - 與 Palo Alto 的比較
    - 趨勢科技與 Palo Alto Networks 的比較
      
      Palo Alto 提供先進的網絡保安方案，但要在其全面的套件中搜尋方案是一件相當複雜的事，而要採用所有功能更需要重大投資。
      繼續
  - 與 SentinelOne 的比較
    - 趨勢科技與 SentinelOne 的比較
      繼續
- 關於我們
  - 關於我們
    - 關於我們
      進一步了解
  - 互信中心
    - 互信中心
      進一步了解
  - 歷史
    - 歷史
      進一步了解
  - 多樣性、平等及包容性
    - 多樣性、平等及包容性
      進一步了解
  - 企業社會責任
    - 企業社會責任
      進一步了解
  - 領導地位
    - 領導地位
      進一步了解
  - 資訊保安專家
    - 資訊保安專家
      進一步了解
  - 網絡安全與網絡保安教育推廣
    - 網絡安全與網絡保安教育推廣
      進一步了解
  - 法務
    - 法務
      進一步了解
  - 投資人
    - 投資人
      進一步了解
  - 一級方程式車隊合作夥伴
    - 一級方程式車隊合作夥伴
      
      麥拿倫一級方程式車隊官方合作夥伴
      進一步了解
- 聯絡我們
  - 聯絡我們
    - 聯絡我們
      進一步了解
  - 新聞中心
    - 新聞中心
      進一步了解
  - 活動
    - 活動
      進一步了解
  - 徵求人才
    - 徵求人才
      進一步了解
  - 網上研討會
    - 網上研討會
      進一步了解

在尋找家居方案？

受到攻擊？

支援

資源

登入

arrow_back

search close

甚麼是威脅捕獵？

趨勢科技員工

- 最後更新時間 2026/03/10

威脅捕獵是搜尋能躲避現有保安工具的威脅的積極過程，它涉及分析數據、開發假設及調查模式，以識別可疑活動，以免造成危害。

進一步了解

keyboard_arrow_down

什麼是威脅捕獵？

威脅捕獵是一個主動的網絡保安做法，專注於識別會躲避自動化偵測工具的威脅。威脅捕獵無須等待警示，而是積極尋找可能顯示攻擊者已在環境中的可疑行為、微弱信號或異常情況。

威脅捕獵會假設入侵是可以、甚至是會發生在防禦良好的環境中。捕獵團隊分析用戶端、網絡、身份及雲端服務的遙測數據，發掘融合正常運作的惡意活動。這通常包括偵測憑證濫用、就地取材技巧、橫向移動及不觸發傳統警示的持續性機制。

與自動化偵測不同，威脅捕獵有賴數據、分析及威脅情報支援的人為導向行動。隨著時間推移，有效的威脅捕獵可以減少攻擊者的逗留時間、改善偵測邏輯及強化整體保安狀態，並將分析資訊回饋保安運作中心及偵測工程。

為何威脅捕獵在網絡保安中很重要

攻擊者躲避偵測的能力越來越強，他們採用無檔案惡意程式、遙距存取工具及憑證濫用等技巧來融入合法活動。這些方法往往會繞過傳統的保安系統。

僅依賴警示就可能造成落差。威脅捕獵會及早識別威脅來解決此問題，通常在清晰指標出現之前。有別於依賴警示的被動方法，威脅捕獵聚焦於可能不會觸發自動化防禦的隱秘及持續性技術。

因此，威脅捕獵可以縮短留置時間、限制影響，並協助機構更快作出回應。根據 SAN 威脅捕獵調查，在 2024 年採用正式威脅捕獵方法的機構數量增長至 64%，正正反映威脅捕獵的效益。

威脅捕獵與事故回應

威脅捕獵及事故回應的目的各有不同：

威脅捕獵是主動的，它根據假設或微弱信號積極尋找潛在的入侵跡象。
事件回應是被動的。它在偵測到入侵後開始，並專注於遏制、調查及復原。

兩者可以一起運作，但遵循不同的時間表。例如，捕獵可能會在觸發警示之前發現事故，以便更早介入。當出現威脅捕獵的問題時，事故回應框架會在違規後介入。

威脅捕獵與威脅情報

威脅情報為保安提供背景資訊，包括已知威脅的資料，例如勒索程式或惡意程式。

另一方面，威脅捕獵會將這些資料應用於真實環境。它尋找類似行為在組織內部展開的跡象。

分開運作時，兩個功能互相補強。成熟的保安運作中心團隊利用威脅情報來引導捕獵，而威脅捕獵又能識別新的威脅來回饋情報平台。

威脅捕獵方法

威脅捕獵通常採用結構化方式。

以假設驅動的捕獵

在以假設為導向的捕獵中，分析師首先假設潛在的惡意活動。例如攻擊者可能利用竊取的憑證在金融系統內橫向移動。然後，捕獵者會查詢相關數據來源，以證明或推翻假設。這種方法具有結構性、可重複性，並非常適合擁有強大遙測數據及經驗豐富分析師的組織。

智能驅動的捕獵

情報導向的捕獵是由外部或內部威脅情報所引導。捕獵者利用主動攻擊、惡意程式活動或攻擊技巧來搜尋自己環境中的相關行為。此方法協助機構專注於相關的威脅，並將捕獵工作與實際的攻擊者活動保持一致。

分析驅動的捕獵

以分析為導向的捕獵有賴統計分析、基礎分析及行為分析來解決異常情況。捕獵者不會從特定假設開始，而是檢查與正常活動的偏差，例如異常登入時間、異常資料傳輸或罕見的執行流程。這種方法能有效發掘未知或新的威脅。

依據情況或被動捕獵

依據情況的搜尋是由新漏洞、公開入侵披露或威脅情勢轉變等事件所觸發。例如，捕獵者可在宣佈關鍵漏洞後主動搜尋入侵活動。與傳統的警示回應相比，這方法在性質上雖然是被動的，但仍然被視為主動行為。

攻擊指標與入侵指標

威脅捕獵通常集中於行為證據而非靜態指標。

入侵指標是已知攻擊相關的偽影，例如惡意檔案雜湊、IP 位址或網域名稱。雖然入侵指標對偵測非常有用，但它通常都很短，而且很容易被攻擊者改變。
攻擊指標集中於攻擊者的行為及技巧。例如可疑的 PowerShell 使用情況、異常的特權升級或異常的驗證模式。攻擊指標在威脅捕獵中尤其有價值，因為它們能識別攻擊者的運作方式，而非他們使用的特定工具。

有效的威脅捕獵是攻擊指標的優先次序，因為攻擊指標更能抵禦躲避，並與現代攻擊技巧更一致。

威脅捕獵技巧

威脅捕獵技巧描述了分析師如何調查資料來發掘威脅。

TTP 分析
捕獵者使用 MITRE ATT&CK 等框架分析逆向策略、技巧及程序，讓團隊有系統地在環境內搜尋已知的攻擊行為。
異常值偵測
此技術專注於識別偏離既定基線的活動。例子包括罕見的指令執行、異常的資料存取或特定用戶或系統的異常登入模式。
時間為基關聯性
攻擊者通常會隨著時間採取行動來避免被發現。基於時間的關聯連繫用戶端、身份及網絡的相關事件，以揭示看似獨立及良性的攻擊鏈。
領域及業務環境分析
捕獵者運用業務營運知識來區分合法活動和可疑行為。而了解系統及用戶的正常運作方式，對準確捕獵威脅至為重要。

威脅捕獵工具

威脅捕獵工具提供支援調查所需的視野及分析能力。

SIEM 平台

SIEM 集中整個環境的記錄檔，並進行查詢、關聯及時間分析。它們通常是威脅捕獵活動的起點。

XDR 平台

XDR 方案關聯來自用戶端、電郵、雲端、身份及網絡層面的遙測數據。這種跨網域視野有助隱藏複雜的攻擊模式，並減少調查盲點。

威脅情報平台

這些工具提供了有關對手、惡意程式及攻擊活動的背景。捕獵者利用情報來引領假設並優先處理調查。

腳本及偵測工程工具

YARA 和 Sigma 等工具讓捕獵者可以根據自己的環境建立客製化偵測邏輯和可重用查詢。

威脅搜尋數據來源

有效的捕獵取決於對高品質資料的存取，包括用戶端遙測、網絡流量、身份記錄及雲端審計追蹤。資料的深度及保留度直接影響捕獵效果。

Trend Vision One 等平台提供這些數據源的整合存取，讓分析師能快速轉換及跨層面調查威脅。

現實世界威脅捕獵例子及個案研究

Microsoft 365 濫用憑證

一家全球物流公司注意到 Microsoft 365 的登入模式異常。威脅捕獵者利用定位過濾與稽核記錄來追溯遭入侵的合作夥伴帳號。該帳戶曾用於向內部發送網絡釣魚電郵。

企業環境中的就地取材攻擊技術

在近期的趨勢科技威脅捕獵研究案例文章中，威脅捕獵者調查了多個高權限端點的持續性指令活動。分析顯示，它們濫用了 PowerShell 及 WMI 等合法工具來建立後門程式，而不會影響檔案。

這種技術被稱為「就地取材」，旨在避免被保安軟件偵測。它仍然是企業威脅偵測最常見的挑戰之一。

供應鏈入侵

TrendAI Vision One™ 客戶發現異常的 DNS 請求與可靠的第三方供應商相關。更深入的檢查顯示，供應商的環境已經被入侵，並被用作橫向移動。

如何建立威脅捕獵框架

威脅捕獵框架提供了一套結構化的方案來主動識別會躲避自動化偵測的威脅。明確的威脅捕獵程序確保捕獵可重複、可衡量及配對機構風險，而非依賴臨時調查。

以下威脅捕獵生命週期概述保安團隊如何建立及操作有效的威脅捕獵框架。

步驟 1：定義威脅捕獵假設

每個威脅捕獵都從一個清晰的假設開始。這是基於威脅情報、已知的攻擊者技巧、環境風險或近期事故而對潛在惡意活動的可測試假設。

例如，假設聚焦於在雲端環境或橫向移動中使用內建管理工具的憑證濫用。有效的假設是具體可行的，並對應到 MITRE ATT&CK 等逆向行為框架。

步驟 2：範圍及準備相關資料

定義假設後，分析師會辨識該假設所需的數據來源並進行驗證。威脅搜尋資料可能包括用戶端遙測、認證記錄、網絡流量、DNS 活動或雲端審核追蹤。

範圍分析確保調查專注於相關系統和時間框架。分析師亦會驗證數據質素、覆蓋範圍及保留率，避免可能削弱結論的差距。

步驟 3：調查及跨遙測

在調查階段，捕獵者使用查詢、行為篩選器及關聯技巧分析數據。當發現可疑活動時，分析師會轉向相關訊號，例如相關帳戶、流程或網絡連接。

威脅捕獵本質上是重複的。初步發現通常會導致新的問題，而在出現新模式時更需要擴大範圍或修訂假設。

步驟 4：驗證發現並評估影響

捕獵者確定證據是否支持或反駁原始假設。如果確認為惡意活動，分析師會評估威脅範圍，識別受影響的資產，並評估攻擊者的持續性及行動。

如果沒有找到支持證據，則假設可能被修正或記錄為陰性結果，這仍然有助於組織理解和檢測成熟度。

步驟 5：升級及回應已確認的威脅

已確認的威脅會上報至事故回應團隊，提供全面環境。這包括時間表、受影響的系統、攻擊者技巧及建議的遏制行動。

清晰的升級路徑確保威脅捕獵能迅速過渡至整治，從而減少留置時間及限制潛在影響。

步驟 6：深入了解偵測及遙測

威脅捕獵框架中最關鍵的步驟之一是反饋。搜尋過程中識別的行為會轉化為 SIEM、XDR 或 EDR 平台內的新偵測邏輯、分析或警示規則。

捕獵亦強調視野落差，促使記錄、遙測收集或感應器部署的改善。

步驟 7：記錄結果並完善流程

應記錄每次狩獵，包括假設、數據來源、調查步驟、調查結果及所學知識。回顧性分析讓團隊得以將新的偵測邏輯應用於歷史數據，發掘錯過的活動或延長留置時間。

隨著時間的推移，這個持續不斷的改善循環可強化威脅捕獵框架、改善偵測覆蓋範圍，並與不斷演變的攻擊者技術更密切地協調主動式威脅捕獵。

如何開始網絡威脅捕獵

開始時，首先關注此處的可見性：

確定優先資產（例如財務、行政人員、關鍵基礎設施）

確保在用戶端、身份及雲端進行記錄

從每週一個假設開始

使用 ATT&CK 引導以技巧為基礎的搜尋

記錄調查結果並改進查詢

我可以在哪裡獲得威脅捕獵的協助？

TrendAI Vision One™ 為威脅捕獵提供進階功能：

從用戶端、電郵、雲端及網絡跨層面遙測

自動對應至 MITRE 技術

以風險為本的評分排序威脅

專為環境而設的整合式威脅情報

搜尋和轉動工具以進行主動調查

它支援保安團隊在升級前偵測隱匿攻擊、縮短逗留時間及發掘威脅。

進一步了解

常見問題

Expand all Hide all

甚麼是網絡保安的威脅捕獵？

add

威脅捕獵是利用人工調查及假設測試來搜尋逃避自動化保安工具威脅的主動過程。

威脅捕獵者做甚麼？

add

威脅捕獵者主動偵測、調查及減低網絡內的網絡威脅，防止入侵及強化機構保安。

威脅捕獵與事故回應有何不同？

add

威脅捕獵是主動的，在事故確認前發生；事故回應是被動的，在偵測事故後開始。

威脅捕獵與威脅情報有何不同？

add

威脅情報提供了已知的威脅資料；威脅捕獵利用此情報來識別在即時環境中的可疑活動。

什麼是威脅捕獵的假設？

add

假設是用於引導調查的明智估算，例如偵測特定網絡區段的橫向移動。

什麼是攻擊指標與入侵指標？

add

攻擊指標專注於行為和策略；入侵指標是過往攻擊的法務證據，例如檔案雜湊碼或 IP 位址。

甚麼工具用於威脅捕獵？

add

工具包括 SIEM、XDR 平台、威脅情報來源及 YARA 或 Sigma 等腳本程式。

哪些數據來源支援有效的威脅捕獵？

add

實用數據包括用戶端遙測數據、網絡記錄、身份記錄及雲端審計追蹤。

您能否提供威脅捕獵的真實例子？

add

例如偵測已遭入侵的 Microsoft 365 帳戶、PowerShell 漏洞濫用及與廠商相關的供應鏈攻擊。

機構如何建立威脅捕獵框架？

add

建立角色、定義可重複的工作流程，並與 MITRE ATT&CK 及 NIST 等架構保持一致。

TrendAI Vision One™ 在威脅捕獵中扮演甚麼角色？

add

它提供跨層面遙測、自動化偵測、MITRE 對應及豐富環境的調查來支援威脅捕獵者。