secops-hunt

Expert guidance for proactive threat hunting. Use this when the user asks to \

1. Zainstaluj umiejętność secops-hunt w swoim środowisku MCP. Upewnij się, że masz dostęp do narzędzi zdalnych (takich jak udm_search, get_ioc_match) lub lokalnych (search_security_events, get_ioc_matches) dostępnych w Twojej konfiguracji SIEM. Sprawdź plik TOOL_MAPPING.md w repozytorium, aby zidentyfikować, które narzędzia są dostępne w Twoim systemie.

2. Uruchom umiejętność poleceniem /security:hunt i podaj identyfikator kampanii lub aktora zagrożenia (GTI_COLLECTION_ID), którego chcesz przeszukać. Możesz również bezpośrednio poprosić o "polowanie" na konkretne zagrożenie lub TTP.

3. Przygotuj listę wskaźników kompromitacji (IOC) związanych z kampanią lub aktorem — mogą to być adresy IP, nazwy domen, skróty plików lub adresy URL. Jeśli nie masz gotowej listy, umiejętność poprosi Cię o podanie tych informacji.

4. System automatycznie skanuje Twoje środowisko pod kątem ostatnich trafień na te wskaźniki. Jeśli dostępne są narzędzia zdalne, umiejętność użyje get_ioc_match; jeśli tylko narzędzia lokalne, zastosuje get_ioc_matches.

5. Dla każdego priorytetowego wskaźnika system konstruuje i wykonuje zapytania UDM dostosowane do typu danych — dla adresów IP przeszukuje pola principal.ip, target.ip i network.ip; dla domen przeszukuje principal.hostname, target.hostname i network.dns.questions.name.

6. Przejrzyj wyniki wyszukiwania, aby zidentyfikować potencjalne zagrożenia w Twojej sieci. Umiejętność dostarcza szczegółowych informacji o każdym trafieniu, umożliwiając Ci szybkie podjęcie działań w celu neutralizacji zagrożenia.