hunt-data-source-identification

Umiejętność tłumaczenia strukturalnej hipotezy lovowania zagrożeń na listę źródeł danych, które mogą zarejestrować badane zachowanie. Pracujesz z katalogami platform, aby zidentyfikować telemetrię przed napisaniem analityki. Narzędzie wspiera planowanie lovowania poprzez analizę dostępnych schematów i metadanych — wykonujesz to po zdefiniowaniu fokusa lovowania, zanim zaczniesz pisać zapytania.

1. Przygotuj strukturalną hipotezę lovowania zagrożeń, która definiuje fokus Twojego śledztwa — zanim zaczniesz, musisz wiedzieć, jakie zachowanie badasz i w jakim kontekście (np. Windows, chmura).

2. Zinterpretuj fokus lovowania: przeanalizuj hipotezę, aby zrozumieć intencję śledztwa. Zidentyfikuj konkretne zachowanie ataku, platformę docelową oraz typ aktywności, która powinna być obserwowalna (np. zmiany konfiguracji, wykonanie, uwierzytelnianie). Na tym etapie nie wnioskuj jeszcze konkretnych tabel danych.

3. Odkryj kandydujące źródła danych, używając wyszukiwania semantycznego po katalogu telemetrii. Szukaj na podstawie zachowania ataku i typu aktywności zdefiniowanego w kroku 2 — umiejętność przeszukuje dostępne schematy i metadane platformy.

4. Oceń każde znalezione źródło danych: sprawdź, czy rzeczywiście może zarejestrować oczekiwaną aktywność, i czy schemat zawiera pola potrzebne do śledzenia badanego zachowania.

5. Dokumentuj wybrane źródła danych jako kandydatów do dalszej analizy — lista ta stanowi podstawę do napisania zapytań i analityki. Nie pisz zapytań w tym kroku, tylko przygotuj mapę źródeł.

6. Przejdź do następnej fazy lovowania: teraz, gdy wiesz, jakie dane są dostępne, możesz zacząć rozwijać analitykę i zapytania na podstawie zidentyfikowanych źródeł.