Threat hunting (po polsku: polowanie na zagrożenia) to proaktywne poszukiwanie oznak ataku lub kompromitacji, które nie zostały wykryte przez automatyczne systemy bezpieczeństwa — takie jak SIEM, EDR, IDS czy antywirus.
W przeciwieństwie do reagowania na alerty (reaktywnego działania), threat hunting zakłada, że atak już mógł mieć miejsce, tylko jeszcze nie został zauważony.
Cel threat huntingu:
- Wykrycie ukrytych, zaawansowanych lub trwających ataków (APT).
- Ujawnienie anomalii w zachowaniu użytkowników, procesów lub systemów.
- Doskonalenie reguł detekcji — każdy hunting kończy się nowymi sygnaturami, regułami czy korelacjami.
Rola threat huntera:
- Threat hunter łączy wiedzę o atakach i grupach APT,
- umiejętność analizy danych i logów,
- znajomość systemów operacyjnych, sieci, i narzędzi forensics.
To rola na pograniczu SOC Tier 3, blue teamu i cyber threat intelligence (CTI).