hunt-analytics-generation

Skill do generowania analityki, która opisuje, jak zachowanie przeciwnika powinno się ujawnić w danych. Przekształca intencję śledczą w definicje analityczne zakorzenione w semantyce schematu. Pracuje najlepiej, gdy masz dostęp do wewnętrznych szczegółów systemu, wiedzy o taktykach atakujących, jasno zdefiniowanym celu polowania i sugerowanych źródłach danych. Wykonywany podczas planowania polowania, przed uruchomieniem zapytań lub walidacją detekcji.

1. Przygotuj kontekst niezbędny do generowania analityki: zbierz informacje o wewnętrznych mechanizmach systemu, poznaj taktyki i techniki przeciwnika, sformułuj hipotezę polowania w strukturyzowany sposób i zidentyfikuj potencjalne źródła danych. Skill wymaga tego kontekstu, aby poprawnie modelować zachowanie.

2. Uruchom skill w fazie planowania polowania, zanim zaczniesz wykonywać zapytania lub walidować wyniki. Skill jest przeznaczony do pracy na etapie przygotowania, nie na etapie wykonania.

3. Przejdź przez krok 1: Interpretacja i normalizacja danych wejściowych. Potwierdź, że rozumiesz konkretne zachowanie przeciwnika, które chcesz modelować. Jeśli brakuje Ci kluczowych informacji, poproś o minimalną wyjaśnienie przed przejściem dalej. Nie czytaj dokumentów referencyjnych na tym etapie.

4. Postępuj zgodnie z kolejnymi krokami workflow'u w podanej kolejności. Nie pomijaj etapów i nie przechodzisz do następnego, dopóki obecny nie będzie całkowicie ukończony.

5. Gdy skill pobiera schematy tabel, pozwól mu na dostęp do narzędzi platformy do tego celu — będzie to wymagane do ugruntowania analityki w semantyce schematu.

6. Pamiętaj, że skill generuje modele zachowania, nie określa, co jest podejrzane lub anomalne — to wymaga szerszego kontekstu środowiska poza opisami przeciwnika.