Threat hunting jako proces: jak SOC wykrywa zagrożenia, których nie widać w alertach 

Współczesne cyberzagrożenia nie tylko przypominają masowe, głośne ataki wykrywane przez klasyczne systemy bezpieczeństwa, lecz także działania ukryte, długotrwałe i precyzyjnie dopasowane do ofiary. Właśnie w tym kontekście threat hunting – czyli proaktywne poszukiwanie zagrożeń – zyskuje kluczowe znaczenie. Skuteczny threat hunting powinien być traktowany nie jako jednorazowa aktywność, lecz ustrukturyzowany, iteracyjny proces oparty na danych i odpowiednio dobranych hipotezach.

Czym w praktyce jest threat hunting

Threat hunting to świadome założenie, że kompromitacja „może już mieć miejsce”, nawet jeśli żadne systemy tego nie sygnalizują. Zamiast czekać na alarm, aktywnie poszukuje się śladów nietypowych zachowań w danych telemetrycznych. Punktem wyjścia jest hipoteza – np. możliwość nadużycia tożsamości, lateral movementu czy utrzymania trwałości w systemie – a celem jej potwierdzenie lub obalenie na podstawie realnych danych.

Opiera się on na zrozumieniu taktyk, technik i procedur (TTP) stosowanych przez atakujących. W praktyce oznacza to analizę zachowań, a nie pojedynczych zdarzeń. Zamiast skupiać się na tym, czy coś wywołało alert, analizowane są zachowania procesów, użytkowników lub hostów.

Metody Threat Huntingu

Podejście oparte na hipotezach

Najczęściej stosowaną metodą jest hunting oparty na hipotezach. Proces zaczyna się od założenia, że określona technika ataku mogła zostać użyta w środowisku, mimo braku alertów. Hipoteza powinna być konkretna i możliwa do zweryfikowania, np. dotycząca eskalacji uprawnień, nadużycia konta serwisowego lub wykorzystania narzędzi systemowych do lateral movementu. Następnie definiowane są źródła danych i zapytania, które pozwalają potwierdzić lub odrzucić to założenie.

Threat hunting oparty na TTP

Drugim powszechnym podejściem jest metoda bazująca na TTP atakujących. W tym modelu punktem wyjścia są znane techniki wykorzystywane przez grupy zagrożeń, a celem jest znalezienie ich śladów w środowisku. Zamiast reagować na konkretne IOC, analizowane są wzorce zachowań charakterystyczne dla danego etapu ataku. Takie podejście jest szczególnie skuteczne przeciwko atakom typu APT i technikom „living off the land”.

Analiza oparta na anomaliach 

Metoda anomalii koncentruje się na wykrywaniu odchyleń od normalnego zachowania systemów i użytkowników. Może obejmować nietypowe godziny logowań, niespotykane wcześniej relacje między hostami czy rzadko używane polecenia systemowe. Kluczowe jest tu dobre zrozumienie baseline’u środowiska – bez niego analiza anomalii prowadzi do dużej liczby fałszywych tropów. Z tego powodu podejście to najlepiej sprawdza się jako wsparcie innych metod.

Data-driven hunting

Coraz częściej stosowana jest metoda oparta na eksploracji danych. Zamiast zaczynać od konkretnej hipotezy, analityk przegląda duże zbiory danych w poszukiwaniu interesujących wzorców, korelacji lub sekwencji zdarzeń. To podejście bywa szczególnie efektywne w środowiskach o wysokiej dojrzałości telemetrycznej, gdzie dostępna jest pełna i spójna widoczność aktywności użytkowników oraz systemów.

Rola danych i widoczności środowiska

Threat hunting jest tak skuteczny, jak dobra jest widoczność środowiska. Dane z endpointów, sieci, systemów tożsamości, chmury czy aplikacji stanowią fundament całego procesu. Braki w telemetrii prowadzą do ślepych punktów, które atakujący potrafią bardzo szybko wykorzystać. Dlatego jednym z pierwszych efektów wdrażania threat huntingu jest często identyfikacja luk w monitoringu, a nie samych ataków.

Kluczową rolę odgrywa telemetria z endpointów – informacje o procesach, drzewach procesów, połączeniach sieciowych, modyfikacjach rejestru czy aktywności w pamięci. To właśnie tam najczęściej widoczne są techniki typu „living off the land”, które nie generują klasycznych alertów, bo wykorzystują legalne narzędzia systemowe. Analiza takich danych pozwala wykrywać nietypowe zależności, np. uruchamianie PowerShella w kontekście, który wcześniej nigdy się nie pojawiał.

Uzupełnieniem endpointów jest analiza ruchu sieciowego. Nietypowe kierunki komunikacji, anormalny transfer danych czy ruch na nietypowych portach potrafią wskazać na kanały C2 lub eksfiltrację danych. W threat huntingu ważne jest jednak spojrzenie długoterminowe – pojedyncze połączenie rzadko jest wystarczającym sygnałem, ale wzorzec powtarzający się w czasie już tak.

Warstwą spinającą cały proces są platformy SIEM i XDR, które agregują dane z wielu źródeł i umożliwiają ich korelację. W kontekście huntingu nie służą one wyłącznie do obsługi alertów, lecz jako środowisko analityczne: do zadawania pytań, budowania zapytań i testowania hipotez. Coraz częściej wykorzystywane są też mechanizmy analityki behawioralnej (UEBA) i modele wykrywające anomalie, które pomagają wytypować obszary wymagające ręcznej analizy.

Threat Intelligence w praktyce threat huntingu

Dobre dane telemetryczne warto uzupełniać o informacje z Threat Intelligence. Feed’y IOC, raporty o aktywności grup APT czy zestawienia TTP pozwalają szybciej formułować hipotezy i wskazują obszary, które warto dokładniej zbadać. Integracja TI z SIEM/XDR pomaga SOC odróżnić realne zagrożenia od fałszywych alarmów i skraca czas potrzebny na identyfikację podejrzanych wzorców zachowań.

Rola threat huntingu w strukturze SOC

W dojrzałym SOC, threat hunting nie konkuruje z klasyczną detekcją, lecz ją uzupełnia. Podczas gdy analitycy L1 skupiają się na obsłudze alertów, hunting jest domeną poziomów L2, L3, bądź zadaniem dedykowanego specjalisty dot. threat huntingu. Kluczowe jest zrozumienie kontekstu, skorelowanie zdarzeń i rozumienie technik ataku. Celem nie jest potwierdzenie znanego incydentu, ale identyfikacja aktywności, która nie wygenerowała alertu.

Formułowanie hipotez huntingowych

Punktem wyjścia dla SOC jest hipoteza oparta na:

• obserwacjach z bieżących incydentów,
• informacjach threat intelligence,
• znajomości środowiska organizacji,
• lukach w obecnych regułach detekcji.

Na poziomie technicznym analitycy SOC zadają konkretne pytania, np.:

• Czy pojawiły się procesy uruchamiane przez użytkowników, które wcześniej w tym kontekście nie występowały?
• Czy PowerShell, cmd lub WMI były używane poza standardowymi godzinami pracy?
• Czy konta użytkowników logowały się do wielu systemów w krótkim czasie?
• Czy wystąpiły próby dostępu do zasobów, które nie są typowe dla danej roli biznesowej?

Takie pytania rzadko mają jedną odpowiedź. Ich celem jest zawężenie obszaru analizy i identyfikacja podejrzanych wzorców zachowań.

Wykorzystanie SIEM i XDR w huntingu

W kontekście threat huntingu SIEM przestaje być jedynie narzędziem alertowym. Staje się platformą analityczną, umożliwiającą:

• budowanie złożonych zapytań,
• korelację danych z wielu źródeł,
• analizę historyczną.

XDR dodatkowo dostarcza kontekst z endpointów, co pozwala SOC przejść od pytania „czy coś się stało?” do „jak dokładnie to wyglądało w systemie”. W praktyce hunt często zaczyna się w SIEM, a kończy głęboką analizą danych endpointowych. W praktyce organizacje wdrażające threat hunting coraz częściej opierają się na doświadczeniu dostawców usługi SOC, takich jak Trecom, którzy łączą platformy SIEM i XDR z procesami analitycznymi oraz wiedzą o realnych TTP atakujących.

Efekty huntów w pracy SOC

Każdy hunt, niezależnie od wyniku, powinien kończyć się konkretnymi rezultatami:

• nową lub poprawioną regułą detekcji,
• aktualizacją playbooka,
• identyfikacją braków w telemetryce,
• lepszym zrozumieniem zachowań użytkowników i systemów.

W ten sposób threat hunting realnie wpływa na codzienną pracę SOC, podnosząc skuteczność detekcji i zmniejszając zależność od sygnatur i gotowych alertów.

Dzięki zgromadzeniu tak dużej ilości informacji i wiedzy z poprzednich huntów kolejne sesje stają się szybsze i bardziej efektywne. Analitycy mają już gotowy kontekst, wzorce zachowań oraz playbooki, co pozwala wykrywać zagrożenia wcześniej i z większą precyzją. Threat hunting nie jest jednorazowym zadaniem – to proces ciągły, który stale ewoluuje wraz z organizacją i krajobrazem zagrożeń, a każda iteracja podnosi dojrzałość zespołu SOC. Takie podejście realizuje Trecom SOC, który obsługuje m.in. firmę Atman. W bazowym modelu Trecom SOC threat hunting jest integralną częścią ciągłego doskonalenia mechanizmów detekcji, a nie jednorazową aktywnością ad hoc.