hunt-focus-definition

hunt-focus-definition 技能是威脅狩獵手冊（Threat Hunter Playbook）中的關鍵規劃組件，旨在縮小開放式安全研究與可執行調查之間的差距。它賦予威脅獵人從對手戰術的廣泛主題分析轉向目標環境中具體且可觀察模式的能力。此技能適用於安全研究人員、SOC 分析師和威脅獵人，他們需要在開始複雜的數據分析或查詢開發之前，為其調查工作流程賦予結構。透過執行研究綜合的標準化流程，該技能確保了後續的狩獵活動基於已驗證的系統行為和對手戰術，從而減少範圍蔓延或調查方向模糊的可能性。

• 綜合多種研究輸入，包括系統內核、MITRE ATT&CK 技術以及對手戰術文檔。

• 強制執行多步驟邏輯進程：背景綜合、單一主要攻擊模式選擇以及假設生成。

• 使用既定模板生成結構化、可測試的威脅狩獵假設，確保跨不同狩獵團隊的一致性。

• 透過迫使獵人將廣泛主題縮小為單一具體、可操作的攻擊模式，消除模糊性。

• 支援威脅狩獵生命週期中的「規劃」階段，防止在調查意圖完全確定前就進行查詢編寫。

• 在完成初始研究階段後、但嚴格在定義環境特定範圍、選擇數據源或編寫檢測查詢之前使用此技能。

• 該技能需要預先存在的研究結果作為輸入；它不執行即時網絡搜尋或外部資訊蒐集。

• 輸出作為後續狩獵規劃步驟的基礎藍圖，例如繪製遙測需求或開發特定分析方法。

• 在此階段嚴格避免定義時間窗口或特定的環境約束；這些是假設固定後才決定的操作細節。

• 工作流程設計為確定性的，應按順序執行以維持狩獵規劃流程的完整性。