hunt-focus-definition

hunt-focus-definition 技能是威胁狩猎手册（Threat Hunter Playbook）中的关键规划组件，旨在缩小开放式安全研究与可执行调查之间的差距。它赋予威胁猎人从对手战术的广泛主题分析转向目标环境中具体且可观察模式的能力。此技能适用于安全研究人员、SOC 分析师和威胁猎人，他们需要在开始复杂的数据分析或查询开发之前，为其调查工作流程赋予结构。通过执行研究综合的标准化流程，该技能确保了后续的狩猎活动基于已验证的系统行为和对手战术，从而减少范围蔓延或调查方向模糊的可能性。

• 综合多种研究输入，包括系统内核、MITRE ATT&CK 技术以及对手战术文档。

• 强制执行多步骤逻辑进程：背景综合、单一主要攻击模式选择以及假设生成。

• 使用既定模板生成结构化、可测试的威胁狩猎假设，确保跨不同狩猎团队的一致性。

• 通过迫使猎人将广泛主题缩小为单一具体、可操作的攻击模式，消除模糊性。

• 支持威胁狩猎生命周期中的「规划」阶段，防止在调查意图完全确定前就进行查询编写。

• 在完成初始研究阶段后、但严格在定义环境特定范围、选择数据源或编写检测查询之前使用此技能。

• 该技能需要预先存在的研究结果作为输入；它不执行即时网络搜索或外部信息搜集。

• 输出作为后续狩猎规划步骤的基础蓝图，例如绘制遥测需求或开发特定分析方法。

• 在此阶段严格避免定义时间窗口或特定的环境约束；这些是假设固定后才决定的操作细节。

• 工作流程设计为确定性的，应按顺序执行以维持狩猎规划流程的完整性。