Код на GitHub, который хакеры хотели бы удалить – Agentic Threat Hunting Framework уже в сети
NewsMakerВ threat hunting появился ATHF — «слой памяти», который превращает разрозненные заметки и запросы в живой архив, понятный и людям, и ИИ.
В экосистеме инструментов для threat hunting появился новый открытый проект, который предлагает решить одну из самых болезненных проблем охоты за угрозами — потерю контекста после завершения расследования. Agentic Threat Hunting Framework (ATHF) позиционируется как «слой памяти и автоматизации» для программ threat hunting: он не навязывает новую методологию, а помогает упорядочить работу так, чтобы прошлые охоты, находки и запросы оставались доступными и людям, и ИИ-ассистентам.
Создатели ATHF исходят из знакомой многим картины: охота закончилась, а знания расползлись по Slack, тикетам и личным заметкам аналитиков. Запросы в SIEM или EDR написаны один раз и забыты, выводы остаются «в голове» у участников, а при смене людей команда часто теряет накопленный опыт. С ИИ-инструментами ситуация, по задумке авторов, ещё хуже: без «памяти» о вашей инфраструктуре и предыдущих проверках они каждый раз стартуют с нуля. ATHF пытается закрыть этот разрыв, предлагая простой формат документирования и каталогизацию охот так, чтобы их можно было искать, перечитывать и использовать повторно.
В основе проекта — Markdown-подход: охоты оформляются как понятные текстовые документы и складываются в репозиторий, который со временем превращается в базу знаний. Для единообразия вводится шаблон LOCK (Learn → Observe → Check → Keep): сначала собирается контекст из разведданных, алертов или аномалий, затем формулируется гипотеза о поведении злоумышленника, после этого гипотеза проверяется целевыми запросами, и, наконец, фиксируются результаты и уроки. Идея в том, что структура достаточно простая для повседневной работы, но при этом достаточно строгая, чтобы её мог «понимать» агент или ассистент и на основе прошлых записей предлагать более точные проверки.
Отдельно ATHF описывает «пять уровней зрелости» агентного threat hunting — от нулевого, когда всё живёт в чатах и разрозненных заметках, до продвинутых стадий, где ИИ уже не только читает историю охот, но и запускает запросы через интеграции, а в перспективе — автономно мониторит и реагирует. При этом авторы подчёркивают, что большинству команд хватит первых двух уровней: начать можно с базового документирования и поиска по прошлым расследованиям, а более «агентные» сценарии — опциональны и требуют времени на внедрение.
В экосистеме инструментов для threat hunting появился новый открытый проект, который предлагает решить одну из самых болезненных проблем охоты за угрозами — потерю контекста после завершения расследования. Agentic Threat Hunting Framework (ATHF) позиционируется как «слой памяти и автоматизации» для программ threat hunting: он не навязывает новую методологию, а помогает упорядочить работу так, чтобы прошлые охоты, находки и запросы оставались доступными и людям, и ИИ-ассистентам.
Создатели ATHF исходят из знакомой многим картины: охота закончилась, а знания расползлись по Slack, тикетам и личным заметкам аналитиков. Запросы в SIEM или EDR написаны один раз и забыты, выводы остаются «в голове» у участников, а при смене людей команда часто теряет накопленный опыт. С ИИ-инструментами ситуация, по задумке авторов, ещё хуже: без «памяти» о вашей инфраструктуре и предыдущих проверках они каждый раз стартуют с нуля. ATHF пытается закрыть этот разрыв, предлагая простой формат документирования и каталогизацию охот так, чтобы их можно было искать, перечитывать и использовать повторно.
В основе проекта — Markdown-подход: охоты оформляются как понятные текстовые документы и складываются в репозиторий, который со временем превращается в базу знаний. Для единообразия вводится шаблон LOCK (Learn → Observe → Check → Keep): сначала собирается контекст из разведданных, алертов или аномалий, затем формулируется гипотеза о поведении злоумышленника, после этого гипотеза проверяется целевыми запросами, и, наконец, фиксируются результаты и уроки. Идея в том, что структура достаточно простая для повседневной работы, но при этом достаточно строгая, чтобы её мог «понимать» агент или ассистент и на основе прошлых записей предлагать более точные проверки.
Отдельно ATHF описывает «пять уровней зрелости» агентного threat hunting — от нулевого, когда всё живёт в чатах и разрозненных заметках, до продвинутых стадий, где ИИ уже не только читает историю охот, но и запускает запросы через интеграции, а в перспективе — автономно мониторит и реагирует. При этом авторы подчёркивают, что большинству команд хватит первых двух уровней: начать можно с базового документирования и поиска по прошлым расследованиям, а более «агентные» сценарии — опциональны и требуют времени на внедрение.