AU Plus

概念 (345)

Absolute File Path 绝对路径
Access Controls 访问控制
Active Packet Sniffing 主动数据包嗅探
Advanced Persistent Threat (APT) 高级持续性威胁
Adversarial AI 对抗性人工智能
Adware 广告软件
Algorithm 算法
Analysis 分析(告警调查)
Angler Phishing 社交媒体客服钓鱼
Anomaly-based Analysis 异常检测
Antivirus Software 杀毒软件
API Token API 令牌
Argument 参数
ARP 地址解析协议
Array 数组
Asset Classification 资产分级
Asset Inventory 资产清单
Asset Management 资产管理
Asset 资产
Asymmetric Encryption 非对称加密
Attack Surface 攻击面
Attack Tree 攻击树
Attack Vectors 攻击向量
Authentication 身份认证
Authorization 授权
Availability 可用性
Baiting 诱饵攻击
Bandwidth 带宽
Baseline Configuration 基线配置
Basic Auth 基本认证
BEC 商业邮件诈骗
Biometrics 生物特征
BIOS 基本输入输出系统
Bit 比特
Bootloader 引导加载器
Botnet 僵尸网络
Broken Chain of Custody 断裂的保管链
Brute Force Attack 暴力破解
Bug Bounty 漏洞赏金
Business Continuity 业务连续性
C2 命令与控制
CEF 通用事件格式
Chain of Custody 证据保管链
Chronicle Google 云原生 SIEM
CIA Triad 信息安全铁三角
Cipher 密码算法
CISSP 信息安全专业人士认证
CLI 命令行界面
Cloud Computing 云计算
Cloud Network 云网络
Cloud Security 云安全
Cloud-based Firewall 云防火墙
CNA CVE 编号机构
Command Option 命令选项
Command 命令
Compliance 合规
Computer Virus 计算机病毒
Confidentiality 保密性
Configuration File 配置文件
Containment 遏制
Controlled Zone 受控区
CPU 中央处理器
Crowdsourcing 众包
Cryptographic Attack 密码学攻击
Cryptographic Key 加密密钥
Cryptography 密码学
Cryptojacking 加密货币劫持
CSIRT 计算机安全事件响应团队
CVE Common Vulnerabilities and Exposures
CVSS Common Vulnerability Scoring System
Cybersecurity 网络安全
Data at Rest 静态数据
Data Custodian 数据托管人
Data Exfiltration 数据外泄
Data in Transit 传输中数据
Data in Use 使用中数据
Data Owner 数据所有人
Data Packet 数据包
Data Point 数据点
Database 数据库
DDoS Attack 分布式拒绝服务攻击
Defense in Depth 纵深防御
Detection 检测
Digital Certificate 数字证书
Digital Forensics 数字取证
Directory 目录
DNS 域名系统
Documentation 文档记录
DoS Attack 拒绝服务攻击
Dropper 投放器
EDR 端点检测与响应
Encapsulation 封装
Encryption 加密
Endpoint 端点
Eradication 清除
Event 事件(可观测发生)
Exploit 漏洞利用
Exposure 暴露
External Threat 外部威胁
False Negative 假阴性(漏报)
False Positive 假阳性(误报)
Fileless Malware 无文件恶意软件
Final Report 最终报告
Firewall 防火墙
Forward Proxy Server 正向代理
GUI 图形用户界面
Hacker 黑客
Hacktivist 黑客主义者
Hard Drive 硬盘
Hardware 硬件
Hash Collision 哈希碰撞
Hash Function 哈希函数
Hash Table 哈希表
HIDS 基于主机的入侵检测系统
HIPAA 美国医疗信息保护法
Honeypot 蜜罐
HTTP 超文本传输协议
HTTPS 安全超文本传输协议
Hub 集线器
IaaS Infrastructure as a Service 基础设施即服务
IAM 身份与访问管理
ICMP Flood ICMP 洪水攻击
ICMP 互联网控制消息协议
IDS 入侵检测系统
Incident Handler's Journal 事件处理日志
Incident Response 事件响应
Incident 安全事件
Information Privacy 信息隐私
InfoSec 信息安全
Injection Attack 注入攻击
Input Validation 输入验证
Integrity 完整性
Internal Hardware 内部硬件
Internal Threat 内部威胁
IoA 攻击指标
IoC 失陷指标
IP Address IP 地址
IP Spoofing IP 地址欺骗
IP 互联网协议
IPS 入侵防御系统
Kernel 内核
Key-Value Pair 键值对
LAN 局域网
Legacy Operating System 遗留操作系统
Lessons Learned Meeting 经验教训会议
Linux
Linux Bash 默认 Shell
Linux Distros 常见发行版
Linux FHS 文件系统层次标准
Linux nano 命令行文本编辑器
Linux Permissions 文件权限
Linux Root User 超级用户
Loader 加载器恶意软件
Log Analysis 日志分析
Log Management 日志管理
Log 日志
Logging 日志记录
MAC Address MAC 地址
Malware 恶意软件
Metrics 指标
MFA 多因素认证
MITRE
Modem 调制解调器
Network Data 网络数据
Network Log Analysis 网络日志分析
Network Protocol Analyzer 网络协议分析器
Network Protocols 网络协议
Network Security 网络安全(基础设施层)
Network Segmentation 网络分段
Network Traffic 网络流量
Network 网络
NIC 网络接口卡
NIDS 基于网络的入侵检测系统
NIST CSF 网络安全框架
NIST RMF 风险管理框架
NIST SP 800-53 控制项目录
NIST 事件响应生命周期
Non-Repudiation 不可否认性
OAuth 开放授权协议
Object 对象
On-path Attack 路中攻击(中间人攻击)
Operating System 操作系统
Order of Volatility 易失性顺序
OSI Model OSI 模型
OSINT 开源情报
OWASP 开放网络应用安全项目
PaaS Platform as a Service 平台即服务
Package Manager 包管理器
Package 软件包
Packet Capture (p-cap) 抓包文件
Packet Sniffing 数据包嗅探
Passive Packet Sniffing 被动数据包嗅探
Password Attack 密码攻击
PASTA 攻击模拟与威胁分析流程
Patch Update 补丁更新
PCI DSS 支付卡行业数据安全标准
Penetration Testing 渗透测试
Peripheral Devices 外设
PHI 受保护健康信息
Phishing Kit 钓鱼套件
Phishing 网络钓鱼
Physical Attack 物理攻击
Physical Social Engineering 物理社会工程
PII 个人可识别信息
Ping of Death 死亡之 ping
PKI 公钥基础设施
Playbook 操作手册
Policy 安全策略
Port Filtering 端口过滤
Port 端口
Post-Incident Activity 事后活动
Prepared Statement 预编译语句
Principle of Least Privilege 最小特权原则
Privacy Protection 隐私保护
Procedures 操作步骤
Programming 编程
Protecting and Preserving Evidence 保护和保存证据
Proxy Server 代理服务器
PUA 潜在不需要的应用
Quid Pro Quo 等价交换骗局
Rainbow Table 彩虹表
RAM 随机存取内存
Ransomware 勒索软件
Recovery 恢复
Regulations 法规
Relative File Path 相对路径
Replay Attack 重放攻击
Resilience 韧性
Reverse Proxy Server 反向代理
Risk Mitigation 风险缓解
Risk 风险
Root Directory 根目录
Rootkit 根套件
Router 路由器
SaaS Software as a Service 软件即服务
Salting 加盐
Scareware 恐吓软件
Security Architecture 安全架构
Security Assessment 安全评估
Security Audit 安全审计
Security Controls 安全控制
Security Ethics 安全伦理
Security Frameworks 安全框架
Security Governance 安全治理
Security Hardening 安全加固
Security Posture 安全态势
Security Zone 安全区
Separation of Duties 职责分离
Session Cookie 会话 Cookie
Session Hijacking 会话劫持
Session ID 会话 ID
Session 会话
SFTP 安全文件传输协议
Shared Responsibility 共担责任
Shell 命令行解释器
SIEM 安全信息和事件管理
Signature Analysis 签名分析
Signature 特征签名
Smishing 短信钓鱼
Smurf Attack 蓝精灵攻击
SNMP 简单网络管理协议
SOAR 安全编排自动化与响应
SOC 安全运营中心
Social Engineering 社会工程
Social Media Phishing 社交媒体钓鱼
Spear Phishing 鱼叉式钓鱼
Speed 网速
SPII 敏感个人可识别信息
SPL Splunk 查询语言
Splunk Cloud 云托管 SIEM
Splunk Enterprise 自建 SIEM
Spyware 间谍软件
SQL Date and Time Data 日期时间数据
SQL Exclusive Operator 排除运算符
SQL Filtering 过滤
SQL Foreign Key 外键
SQL Inclusive Operator 包含运算符
SQL Injection SQL 注入
SQL Numeric Data 数值数据
SQL Operator 运算符
SQL Primary Key 主键
SQL Query 查询
SQL Relational Database 关系型数据库
SQL String Data 字符串数据
SQL Syntax SQL 语法
SQL Wildcard 通配符
SQL 结构化查询语言
SSH 安全外壳协议
SSO 单点登录
Standard Error 标准错误
Standard Input 标准输入
Standard Output 标准输出
Standards 标准
Stateful Firewall 有状态防火墙
Stateless Firewall 无状态防火墙
Subnetting 子网划分
sudo 临时提权命令
Supply-chain Attack 供应链攻击
Suricata 开源入侵检测/防御系统
Switch 交换机
Symmetric Encryption 对称加密
SYN Flood Attack SYN 洪水攻击
Tailgating 尾随
TCP 传输控制协议
TCP/IP Model TCP/IP 模型
tcpdump 命令行抓包工具
Technical Skills 技术技能
Telemetry 遥测
Threat Actor 威胁主体
Threat Hunting 威胁狩猎
Threat Intelligence 威胁情报
Threat Modeling 威胁建模
Threat 威胁
Transferable Skills 可迁移技能
Triage 分流
Trojan Horse 木马
True Negative 真阴性
True Positive 真阳性
UDP 用户数据报协议
UEFI 统一可扩展固件接口
Uncontrolled Zone 不可控区
USB Baiting U 盘诱饵攻击
User Interface 用户界面
User Provisioning 用户配置
VirusTotal 在线威胁分析服务
Vishing 语音钓鱼
VM 虚拟机
VPN 虚拟专用网络
Vulnerability Assessment 漏洞评估
Vulnerability Management 漏洞管理
Vulnerability Scanner 漏洞扫描器
Vulnerability 漏洞
WAN 广域网
Watering Hole Attack 水坑攻击
Web-based Exploits Web 应用利用
Whaling 捕鲸攻击
Wi-Fi 无线局域网
Wildcard 通配符
Wireshark 图形化抓包分析器
World-writable File 全局可写文件
Worm 蠕虫
WPA Wi-Fi 安全协议
XSS Cross-Site Scripting 跨站脚本
YARA-L 日志检测规则语言
Zero-day 零日漏洞

课程笔记
书籍
概念
博客
提示词
教程
标签
关于我

❯

❯

Threat Hunting 威胁狩猎

Threat Hunting 威胁狩猎

2026年5月26日2分钟阅读

cybersecurity
source-type/course
source/coursera-sound-the-alarm

Threat Hunting 威胁狩猎

不等告警,主动出去找。 假设”攻击者可能已经潜入了,只是没触发告警”,然后主动翻日志、查端点,把藏起来的威胁挖出来。

为什么需要主动找

被动检测(IDS/SIEM 告警)只能抓”已知的、会触发规则的”。但 APT、0-day、无文件攻击专门绕过告警——它们就是漏报。威胁狩猎就是去捞这些漏网之鱼。

怎么狩猎

提假设 —— 比如”如果有人在做横向移动,日志里会有什么 IoA?”
查数据 —— 在 SIEM/EDR 里按假设搜
验证 —— 找到可疑就深入分析
沉淀 —— 把发现变成新的检测规则

谁干这个

SOC 里经验最足的 Tier 3 分析师。常用威胁情报和 MITRE ATT&CK 框架指导假设。

狩猎的价值不只是抓当前威胁,更是把”人脑发现的模式”固化成自动检测,让系统越来越聪明。

关系图谱

Threat Hunting 威胁狩猎
为什么需要主动找
怎么狩猎
谁干这个

反向链接

False Negative 假阴性(漏报)
IoA 攻击指标
SOC 安全运营中心
SPL Splunk 查询语言
Threat Intelligence 威胁情报
True Negative 真阴性
YARA-L 日志检测规则语言

Created with Quartz v4.5.2 © 2026

Fordexa（企业版）
GitHub
LinkedIn
小红书