README

本章节将整理威胁狩猎（Threat Hunting）的相关内容，原先该内容与0x1_威胁情报是一起的，但由于更多的学习，发现威胁情报和威胁狩猎本身说的是事件响应（Incident Response）的两种方案。威胁情报是更多是基于攻击的假设，而威胁狩猎更多是基于失陷的假设。换一种角度来说，就是威胁情报是偏向于“检测”，而威胁狩猎是偏向于“响应”。

简单来说，威胁情报目的是为了知道“我们这里啥情况”，手段之一是要知道“你们那里啥情况”；而威胁狩猎是为了知道“你们那里啥情况”，手段之一是要知道“我们这里啥情况”。

再说到推进落地方的问题，部分认为威胁情报是数据驱动的，部分认为是case驱动（攻击者模型驱动，依赖于专家经验），其实这两种说法都没错，都说得通。目前从落地上来看，case驱动具有操作性，而且未来也不会完全被取代，但是数据驱动的观念，全自动化的方向也是搞工程化建设的人所向往的银弹。数据+专家经验，是未来安全的一个大方向。纠结于口号对不对，不如做点实际的工作去看看哪个更有意思。