Ir al contenido principal

¿Qué es Threat Hunting?

Actualizado hace más de una semana

Axur Threat Hunting permite realizar búsquedas en múltiples fuentes de datos para identificar amenazas e información comprometida. Cada parámetro de alcance proporciona acceso a diferentes tipos de datos y amenazas. Cada detección realizada por Axur genera una señal que se envía al Axur Datahub, donde se indexa y estructura para respaldar búsquedas de alcance precisas y detalladas.

¿Cómo funciona en la plataforma?

  1. Defina el alcance de la búsqueda para especificar la fuente de datos (por ejemplo: credenciales, tarjetas de crédito, mensajes).

  2. Construya consultas utilizando Axur Query Language para refinar y filtrar los resultados.

  3. Revise y analice los resultados.

¿Cómo funciona el sistema de créditos de Axur Threat Hunting?

Axur Threat Hunting opera con un modelo basado en créditos, diseñado para controlar y optimizar las actividades de búsqueda. Comprender cómo se consumen los créditos permite una gestión eficiente de las operaciones de threat hunting.

El sistema de créditos está diseñado para rastrear el uso de las búsquedas y garantizar una asignación eficiente de recursos. Cada búsqueda realizada puede consumir créditos, dependiendo de la existencia de resultados y de la cantidad de páginas a las que se acceda.

Reglas de consumo de créditos

Búsquedas con resultados

Cuando una búsqueda devuelve resultados, los créditos se consumen de la siguiente manera:

  • Primeros 100 resultados: se consume 1 crédito para la página inicial de resultados

  • Cada página adicional: 1 crédito por cada 100 resultados (Página 2, Página 3, etc.)

Ejemplo:

Si una búsqueda devuelve 350 resultados, acceder a todos ellos consumirá 4 créditos:

  • Página 1 (resultados 1–100): 1 crédito

  • Página 2 (resultados 101–200): 1 crédito

  • Página 3 (resultados 201–300): 1 crédito

  • Página 4 (resultados 301–350): 1 crédito

Búsquedas sin resultados

Cuando una búsqueda no devuelve resultados, no se consume ningún crédito. Esto permite refinar consultas y probar diferentes parámetros de búsqueda sin penalizaciones.

Comportamiento predeterminado

De forma predeterminada, Axur Threat Hunting muestra los primeros 100 resultados de una búsqueda. Se muestra y consume un solo crédito al acceder a esta página inicial, siempre que existan resultados.

Para ver resultados más allá de los primeros 100, es necesario acceder a la siguiente página (Página 2), lo que consumirá un crédito adicional para los próximos 100 resultados.

Resumen

El modelo de créditos de Axur Threat Hunting ofrece una forma transparente y justa de gestionar las actividades de búsqueda:

  • Cada 100 resultados consume 1 crédito

  • La primera página (100 resultados) siempre consume 1 crédito cuando hay resultados

  • Sin resultados = sin consumo de créditos

  • Usted controla si desea visualizar páginas adicionales y los costos asociados

  • Utilice el sistema de manera estratégica para maximizar el valor de sus créditos

¿Durante cuánto tiempo puedo acceder a los resultados?

Después de realizar una búsqueda, los resultados estarán disponibles durante un período de 12 horas. Pasado este tiempo, la sesión se cierra y la navegación entre las páginas de resultados se interrumpe.

¿Qué es y cómo utilizar la sintaxis de consultas de Axur Threat Hunting?

La sintaxis de consultas de Axur Threat Hunting es un lenguaje de consulta estructurado, diseñado para filtrar y analizar grandes volúmenes de datos de inteligencia de amenazas. Esta sintaxis permite pasar de búsquedas genéricas a investigaciones granulares, aislando Indicadores de Compromiso (IoCs) y patrones de fraude con alta precisión.

Operadores lógicos y patrones de búsqueda

  1. Operadores booleanos:

    1. Los operadores definen la relación entre los términos de búsqueda:

      1. AND: Restringe los resultados a los registros que contienen todos los términos especificados.

      2. OR: Amplía los resultados a los registros que contienen al menos uno de los términos.

      3. NOT: Excluye de los resultados los registros que contienen el término posterior.

  2. Comodines y aproximaciones:

    1. Se utilizan para capturar variaciones de cadenas o patrones incompletos:

      1. * (Asterisco): Sustituye una secuencia de múltiples caracteres. Ideal para subdominios o sufijos variables.

      2. ? (Signo de interrogación): Sustituye un solo carácter. Útil para identificar variaciones de typosquatting.

      3. ~ (Virgulilla): Habilita la búsqueda difusa (Fuzzy Search). Cuando va seguido de los valores 1 o 2, localiza términos con ortografías similares o pequeños errores tipográficos.

  3. Agrupación y precedencia:

    1. El uso de paréntesis ( ) es obligatorio para definir el orden de procesamiento en consultas que combinan múltiples operadores. La agrupación evita ambigüedades en la forma en que el motor de búsqueda interpreta la lógica.

¿Cómo exporto datos de Threat Hunting?

La función de Exportación te permite descargar la cantidad deseada de resultados en un archivo CSV.

Ten en cuenta que esta acción requiere créditos disponibles y sigue las mismas reglas que las visualizaciones de página. Para obtener información detallada sobre el sistema de créditos, consulta: ¿Cómo funciona el sistema de créditos de Axur Threat Hunting?

¿Cómo utilizo la API de Axur Threat Hunting?

Threat Hunting es responsable de crear búsquedas asíncronas en nuestro data lake. Puedes consultar terabytes de datos para encontrar detecciones como sitios web fraudulentos, tarjetas de crédito y filtraciones de credenciales.

Para tener acceso a la API, es necesario contratar un plan con nuestro equipo de ventas.

Guía completa: https://docs.axur.com/en/axur/api/#tag/Threat-Hunting

Hunting Like a Pro

Curso en Axur University:

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Plan & Uso
Threat Actor Profile
¿Qué es AI Query Builder y cómo utilizarlo en Threat Hunting?
¿Qué son los parámetros de búsqueda del Threat Hunting?
Hunting Like a Pro: Búsquedas de nombres de dominio similares
¿Ha quedado contestada tu pregunta?