hunt-data-source-identification

Identify relevant security data sources that could capture the behavior defined in a structured hunt hypothesis. Use this skill after the hunt focus has been defined to translate investigative intent into candidate telemetry sources using existing platform catalogs. This skill supports hunt planning by reasoning over available schemas and metadata before analytics development or query execution.

1. Przygotuj strukturalną hipotezę lovowania zagrożeń, która definiuje fokus Twojego śledztwa — zanim zaczniesz, musisz wiedzieć, jakie zachowanie badasz i w jakim kontekście (np. Windows, chmura).

2. Zinterpretuj fokus lovowania: przeanalizuj hipotezę, aby zrozumieć intencję śledztwa. Zidentyfikuj konkretne zachowanie ataku, platformę docelową oraz typ aktywności, która powinna być obserwowalna (np. zmiany konfiguracji, wykonanie, uwierzytelnianie). Na tym etapie nie wnioskuj jeszcze konkretnych tabel danych.

3. Odkryj kandydujące źródła danych, używając wyszukiwania semantycznego po katalogu telemetrii. Szukaj na podstawie zachowania ataku i typu aktywności zdefiniowanego w kroku 2 — umiejętność przeszukuje dostępne schematy i metadane platformy.

4. Oceń każde znalezione źródło danych: sprawdź, czy rzeczywiście może zarejestrować oczekiwaną aktywność, i czy schemat zawiera pola potrzebne do śledzenia badanego zachowania.

5. Dokumentuj wybrane źródła danych jako kandydatów do dalszej analizy — lista ta stanowi podstawę do napisania zapytań i analityki. Nie pisz zapytań w tym kroku, tylko przygotuj mapę źródeł.

6. Przejdź do następnej fazy lovowania: teraz, gdy wiesz, jakie dane są dostępne, możesz zacząć rozwijać analitykę i zapytania na podstawie zidentyfikowanych źródeł.