asp-threat-hunting
asp-threat-hunting 用于编排 ASP 威胁狩猎,适合围绕假设、IOC、TTP 或可疑活动进行有边界的 SIEM hunt。
调用方式
text
/asp-threat-hunting它会组合 asp-siem-search、asp-siem-rule、asp-alert、asp-artifact、asp-case、asp-threat-intelligence 和 asp-knowledge。
常见调用样例
text
/asp-threat-hunting 围绕可疑 PowerShell 下载行为做 24 小时 hunttext
/asp-threat-hunting 使用这些 IOC 在 SIEM 中查找关联活动text
/asp-threat-hunting 根据 ATT&CK T1059 生成可验证的 hunt 查询常用 CLI 命令:
powershell
asp siem schema list --output json
asp siem search keyword 1.2.3.4 --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json
asp siem query spl "index=main error" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json