Passar para o conteúdo principal

O que é Threat Hunting?

Atualizado há mais de uma semana

O Axur Threat Hunting permite a realização de buscas em múltiplas fontes de dados para identificar ameaças e informações comprometidas. Cada parâmetro de escopo fornece acesso a diferentes tipos de dados e ameaças. Cada detecção realizada pela Axur gera um sinal encaminhado para o Axur Datahub, onde é indexado e estruturado para dar suporte a buscas de escopo precisas e detalhadas.

Como funciona na plataforma?

  1. Defina o escopo da busca para especificar a fonte de dados (por exemplo: credenciais, cartões de crédito, mensagens).

  2. Construa consultas utilizando a Axur Query Language para refinar e filtrar os resultados.

  3. Revise e analise os resultados.

Como funciona o sistema de créditos do Axur Threat Hunting?

O Axur Threat Hunting opera com um modelo baseado em créditos, desenvolvido para controlar e otimizar as atividades de busca. Compreender como os créditos são consumidos permite uma gestão mais eficiente das operações de threat hunting.

O sistema de créditos foi projetado para rastrear o uso das buscas e garantir uma alocação eficiente de recursos. Cada busca realizada pode consumir créditos, dependendo da existência de resultados e da quantidade de páginas acessadas.

Regras de consumo de créditos

Buscas com resultados

Quando uma busca retorna resultados, os créditos são consumidos da seguinte forma:

  • Primeiros 100 resultados: 1 crédito é consumido para a página inicial de resultados

  • Cada página adicional: 1 crédito a cada 100 resultados (Página 2, Página 3, etc.)

Exemplo:

Se uma busca retornar 350 resultados, o acesso a todos eles consumirão 4 créditos:

  • Página 1 (resultados 1–100): 1 crédito

  • Página 2 (resultados 101–200): 1 crédito

  • Página 3 (resultados 201–300): 1 crédito

  • Página 4 (resultados 301–350): 1 crédito

Buscas sem resultados

Quando uma busca não retorna resultados, nenhum crédito é consumido. Isso permite refinar consultas e o teste de diferentes parâmetros de busca sem penalidades.

Comportamento padrão

Por padrão, o Axur Threat Hunting exibe os primeiros 100 resultados de uma busca. Um único crédito é exibido e consumido ao acessar essa página inicial, quando existirem resultados.

Para visualizar resultados além dos primeiros 100, é necessário acessar a próxima página (Página 2), o que consumirá um crédito adicional para os próximos 100 resultados.

Resumo

O modelo de créditos do Axur Threat Hunting oferece uma forma transparente e justa de gerenciar as atividades de busca:

  • Cada 100 resultados consome 1 crédito

  • A primeira página (100 resultados) sempre consome 1 crédito quando há resultados

  • Nenhum resultado = nenhum crédito consumido

  • Você controla se deseja visualizar páginas adicionais e os custos associados

  • Utilize o sistema de forma estratégica para maximizar o valor dos seus créditos

Por quanto tempo posso acessar os resultados?

Após a realização de uma busca, os resultados ficam disponíveis por um período de 12 horas. Após esse tempo, a sessão é encerrada e a navegação entre as páginas de resultados é interrompida.

O que é e como utilizar a sintaxe de consultas do Axur Threat Hunting?

A sintaxe de consultas do Axur Threat Hunting é uma linguagem de consulta estruturada, projetada para filtrar e analisar grandes volumes de dados de inteligência de ameaças. Essa sintaxe permite a transição de buscas genéricas para investigações granulares, isolando Indicadores de Comprometimento (IoCs) e padrões de fraude com alta precisão.

Operadores Lógicos e Padrões de Busca

  1. Operadores Booleanos:

    1. Os operadores definem a relação entre os termos de busca:

      1. AND: Restringe os resultados a registros que contenham todos os termos especificados.

      2. OR: Expande os resultados para registros que contenham pelo menos um dos termos.

      3. NOT: Exclui dos resultados os registros que contenham o termo subsequente.

  2. Curingas e Aproximações:

    1. Utilizados para capturar variações de strings ou padrões incompletos:

      1. * (Asterisco): Substitui uma sequência de múltiplos caracteres. Ideal para subdomínios ou sufixos variáveis.

      2. ? (Ponto de interrogação): Substitui um único caractere. Útil para identificar variações de typosquatting.

      3. ~ (Til): Habilita a busca aproximada (Fuzzy Search). Quando seguido pelos valores 1 ou 2, localiza termos com grafias semelhantes ou pequenos erros de digitação.

  3. Agrupamento e Precedência:

    1. O uso de parênteses ( ) é obrigatório para definir a ordem de processamento em consultas que combinam múltiplos operadores. O agrupamento evita ambiguidades na forma como o mecanismo de busca interpreta a lógica.

Como faço para exportar dados do Threat Hunting?

O recurso de Exportação permite que você faça o download da quantidade desejada de resultados em um arquivo CSV.

Observe que essa ação requer créditos disponíveis e segue as mesmas regras das visualizações de página. Para informações detalhadas sobre o sistema de créditos, consulte: Como funciona o sistema de créditos do Axur Threat Hunting?

Como utilizo a API do Axur Threat Hunting?

O Threat Hunting é responsável por criar buscas assíncronas em nosso data lake. Você pode consultar terabytes de dados para encontrar detecções como sites fraudulentos, cartões de crédito e vazamentos de credenciais.

Para ter acesso à API, é necessário contratar um plano com nossa equipe de vendas.

Guia completo: https://docs.axur.com/en/axur/api/#tag/Threat-Hunting

Hunting Like a Pro

Curso na Axur University:

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Artigos relacionados
Plano & Consumo
Threat Actor Profile da Axur
O que é AI Query Builder e como utilizar no Threat Hunting?
O que são parâmetros de pesquisa do Threat Hunting?
Quais são os parâmetros de busca em Anúncios e Busca Patrocinada no Threat Hunting?
Respondeu à sua pergunta?