威脅獵殺是一種協(xié)同配合的工作方法，基于工作性質(zhì)、工作重點(diǎn)部位與參與人員組織，安天將威脅獵殺劃分為威脅獵殺分析、現(xiàn)場協(xié)同與后臺支撐服務(wù)、現(xiàn)場排查三個層面。三個層面相應(yīng)人員在負(fù)責(zé)各自工作的同時，也會根據(jù)其他層次的輸入信息進(jìn)行工作，并生成相應(yīng)的輸出信息給予不同的層面，實(shí)現(xiàn)五個層次相互之間的協(xié)同聯(lián)動進(jìn)而展開威脅獵殺工作。

威脅獵殺分析層面

通過威脅檢測服務(wù)和威脅巡檢服務(wù)完成此部分工作。威脅獵殺初期，需要準(zhǔn)備信息采集需求和部署方案，并向現(xiàn)場下發(fā)觀測信息采集節(jié)點(diǎn)部署需求。威脅獵殺分析師對觀測信息庫、報告庫中的信息進(jìn)行觀測調(diào)查，并結(jié)合威脅知識，產(chǎn)生初步的異常，匯總調(diào)查觀測信息形成威脅線索。對威脅線索進(jìn)行綜合分析并結(jié)合威脅知識提出/更新假設(shè)，確定調(diào)查觀測方向，進(jìn)而開展定向觀測調(diào)查，匯總定向調(diào)查觀測信息形成新威脅線索，進(jìn)行下一個周期。為了保證信息量充足，需定期啟動對全量信息的觀測調(diào)查。

現(xiàn)場協(xié)同與后臺支撐服務(wù)層面

通過人工調(diào)查分析服務(wù)完成此部分工作?，F(xiàn)場工程師協(xié)同系統(tǒng)管理員、控制工程師、安全管理員完成現(xiàn)場協(xié)同，逆向分析工程師為現(xiàn)場協(xié)同提供后臺支撐服務(wù)。具體來說，現(xiàn)場相關(guān)人員根據(jù)下發(fā)的增補(bǔ)清單增補(bǔ)部署觀測信息采集點(diǎn)，基于現(xiàn)場取證節(jié)點(diǎn)清單進(jìn)行取證調(diào)查，并向后臺提交樣本和相關(guān)信息。逆向分析工程師在后臺對樣本進(jìn)行一系列分析之后，為現(xiàn)場輸出樣本分析報告，并提供專查工具和EDR/NDR特征包。現(xiàn)場相關(guān)人員基于專查工具和EDR/NDR特征包指導(dǎo)現(xiàn)場排查工作，并基于現(xiàn)場排查上報的感染清單，協(xié)同配合完成處置工作。同時，現(xiàn)場相關(guān)人員會向報告庫提交取證、樣本與感染報告。

現(xiàn)場排查層面

通過應(yīng)急處置服務(wù)和專殺開發(fā)服務(wù)完成此部分工作。基于下發(fā)的特征包及其加載指南、專查工具及其使用手冊，指揮協(xié)調(diào)員協(xié)同客戶系統(tǒng)管理員、安全管理員、控制工程師以及廠商維護(hù)工程師開展現(xiàn)場排查。根據(jù)網(wǎng)絡(luò)信息系統(tǒng)中不同業(yè)務(wù)場景，現(xiàn)場排查可分為自動化和手工排查兩種。對于包含EDR/NDR等安全防御措施的業(yè)務(wù)場景，基于特征包及其加載指南進(jìn)行自動化排查；對于無法進(jìn)行自動化排查的業(yè)務(wù)場景，則基于專查工具及其使用手冊開展手工排查。