威脅搜捕流程 (THP) 路線圖

# The Threat Hunt Process Roadmap a Pathway for Advanced Cybersecurity Active Measures * Author: Mark A. Russo * [Author's Website](https://cybersentinel.tech) :::info * 風險報告矩陣 (RRM)：書中強烈批評傳統的 RRM 方法，認為其主觀性強且缺乏客觀數學依據，會給人一種錯誤的安全感和確定性。CISO 應採用更為量化的風險評估方法，例如結合專家知識、概率和貨幣影響範圍來進行預測。這是 CISO 向高層展示實際風險和投資回報的關鍵。 * 持續監控 (ConMon) 的關鍵作用： ◦ 領導力議題：網路安全不是單純的技術問題，需要最高領導層的教育、培訓和理解。CISO 必須在組織內推動這一觀念。 ◦ 端到端覆蓋：持續監控 (ConMon) 被視為提供「端到端網路安全覆蓋」的整體解決方案，有助於實現有效的全球風險管理。 ◦ 符合 NIST 標準：ConMon 應符合 NIST SP 800-137，這不僅包括被動的可見性，還需要主動的漏洞掃描、威脅警報和緩解措施。 ◦ SIEM 的核心作用：安全資訊和事件管理 (SIEM) 工具是 ConMon 實施的「核心」。它負責聚合多源數據、分析、探索、量化風險評分，並提供即時的安全態勢感知。CISO 需要確保公司部署強大且整合的 SIEM 解決方案。 ◦ 人、流程、技術的整合：CISO 必須認識到，只有當組織能將「正確的人員、流程和技術」整合起來，ConMon 才能成為現實。網路安全必須被定位為組織的「推動者」，與人力資源、財務資源等並列，成為實現任務的成功要素。 * MHTDB 的中心管理角色： ◦ 威脅情報儲存庫：Master Hunt Tracking Database (MHTDB) 是 THP 的核心定義儲存庫，用於追蹤妥協指標 (IOC)、基本追捕邏輯和追捕結果。它有助於 CISO 更好地理解威脅能力和動機。 ◦ 記錄決策與結果：所有追捕活動的結果（無論發現惡意活動、非惡意違規還是無發現）以及「執行審查」階段的決策（是否轉為基本追捕、是否轉為自動化規則、追捕淘汰原因）都必須記錄在 MHTDB 中。CISO 依賴 MHTDB 來獲取全面的威脅情資和追捕活動記錄。 ::: ## 第一部分：威脅狩獵流程 (THP) 的策略視角 ### 簡介 * THP 定義：THP 是一個主動且協調的過程，由事件回應 (IR) 團隊和網路威脅情報 (CTI) 團隊協同合作。 * 目的：THP 並非進攻性活動，主要用於確認事件是否升級為既定事故。 * 角色：THP 是內部專家對資訊科技 (IT) 環境威脅做出快速回應的第一道防線。 * 適用對象：公營機構和私營公司均可使用，尤其適用於需要保護敏感資料和智慧財產權的中大型公司。 * 主要元素：圖表 1 提供 THP 各網路安全功能的高級概覽，特別強調狩獵過程。 * 核心目標：提供高可信度、可重複性，並能識別網路安全事件和事故。 * 主要輸入：THP 主要接收來自四個領域的輸入：網路威脅情報 (CTI)、自動化工具、業務案例開發、事件回應 (IR)。 ### 什麼是風險？ * 風險定義：一個實體受到潛在情況或事件威脅的程度，通常是以下函數： * (i) 情況或事件發生時可能產生不利影響 * (ii) 發生的可能性。 * 威脅定義：任何可能透過資訊系統（經由未經授權的存取、破壞、洩露、修改資訊及/或拒絕服務）對組織營運、資產、個人、其他組織或國家造成不利影響的情況或事件。 * ==區別威脅與風險==：威脅是風險的一個子集。許多人會混淆風險和威脅並將其互換使用。 * 風險管理：NIST 制定的風險管理框架 (RMF) 旨在積極管理風險，而非消除風險。 ### 「事件」與「事故」的區別 * 事件 (Event)：定義較不明確的初始發生。 * 事故 (Incident)：已定義、已確認、高衝擊的發生。事故是實際或潛在危害資訊系統或其資訊的機密性、完整性或可用性的情況。 * IR 要求：事件回應 (IR) 主要需要一個計畫，並明確在發生漏洞時通知誰或哪個機構。 * 通報標準：需要識別什麼構成應向政府通報的事件，例如已確認的 IT 基礎設施漏洞。 * 通報對象：可能包括指定合約官代表 (COR)、DOD 的美國網路司令部或國土安全部 (DHS) 電腦緊急應變小組 (CERT)。 * DOD 網路事故生命週期：一個典型的「事故回應生命週期」示例，協助 IR 活動。 * 通報時限：對於事故，標準是在 72 小時內提交報告，但建議盡早提交。 * 優先順序分類：DOD 和 DHS 有通用的優先順序分類，從最低的 9 級（知之甚少，正在判斷）到最高的 1 級（深度攻擊，獲得「root」存取權）。 ### 中國的威脅 * 主要威脅：俄羅斯、伊朗和北韓是已知的活躍攻擊者，但中國在可預見的未來構成主要威脅。 * 網路安全漏洞：中國視網路安全漏洞為其對西方「不對稱戰爭」的關鍵要素。 * 供應鏈風險：國家情報總監 (DNI) 識別的主要風險之一是將惡意代碼植入銷往美國的 IT 硬體和軟體中。 * 華為技術：中國公司華為 (Huawei) 被認為是這個領域的主要威脅。美國眾議院常設情報委員會在 2012 年對華為的運營方式表示嚴重關切。 * 類似案例：2006 年，西方國家曾對聯想 (Lenovo) 個人電腦實施禁令，原因在於「後門漏洞」。 * 華為的動機與能力： * 動機：支持中國政府的五年計劃，旨在成為全球主要經濟超級大國。 * 與政府關係：華為拒絕解釋其與中國政府的關係，但其多位高級領導人與解放軍 (PLA) 有密切聯繫。 * 解放軍單位 61398：該單位被發現系統性地進行網路間諜活動和數據竊取，華為直接為解放軍提供培訓、設備和專業知識。 * 廣泛能力：包括硬體和軟體開發、IT 製造和內部技術專長。 * 基礎設施：龐大而活躍，能夠利用網際網路隱藏活動，並與中國政府合作，具有顛覆美國及其盟友 IT 架構的近乎無限能力。 * 目標設定：華為在全球 IT 市場的增長使其擁有多樣的目標，涵蓋所有與其有業務往來的已開發和工業化國家。 * 潛在影響： * 網路間諜損失：每年超過 4450 億美元的全球經濟損失。 * 嚴重後果：華為可能利用其產品中植入的惡意代碼，關閉部分或整個網際網路，因其控制著路由器、交換機和防火牆等基礎骨幹硬體設備。 * 結論：華為是一個複雜的威脅，擁有中國政府的支持和資源，對美國和國際政府及其經濟構成重大威脅。儘管沒有確鑿的公開證據，但風險巨大。 ### 威脅輸入 * 目標：確保所有狩獵活動都能為公司、企業或機構提供回饋和價值，並要求一致和可重複的回應。 * 持續改進：THP 需要「持續改進」元素，例如事後會議、培訓和外部第三方評估。威脅輸入 * 啟動狩獵：網路安全分析師 (CyA) 根據收到的狩獵請求或來自事件回應團隊的基礎狩獵開始。 * 主狩獵追蹤資料庫 (MHTDB)：一個用於追蹤入侵指標 (IOC) 的定義儲存庫，有助於了解威脅能力和動機。 * IOC 來源：可由內部專家開發，也可利用公共和私營部門的低成本或免費解決方案，如 FireEye 的 GitHub、DHS 的聯合指標公告和自動化指標共享 (AIS)、Crowdstrike 的 Falcon Query API，以及 Cylance 的人工智慧技術。 ### 狩獵活動 #### 啟動來源：狩獵請求可能源於三個功能領域：網路威脅情報 (CTI)、業務案例開發、事件回應 (IR)。最終決定權屬於 IR 團隊。 * 聚焦目標：狩獵通常針對外部攻擊者，但也可能包括「內部威脅」活動。 #### 迭代過程：CyA 根據指示啟動 THP 活動，包括==選擇工具、收集數據、分析結果和記錄成果==。這是一個迭代過程，直到發現惡意活動為止。 * 基礎狩獵 (Base Hunts)：通常側重於 IT 環境內部的合規性。這些是基於分析方法的可重複搜索，產生低可信度結果（需要分析師審查，無法完全自動化）。例如，FireEye HX 技術可用於獲取端點情報，如 Windows 服務列表、計劃任務、註冊表運行鍵和應用程式兼容性緩存。 #### 成果 * 所有狩獵活動最終會產生三種結果之一： 1. 未發現任何異常 (Nothing Discovered)：未發現活躍的入侵跡象或違反最佳實踐、可接受使用政策或組織政策的行為。 2. 發現非惡意行為 (Something Found: Non-Malicious)：發現違反可接受使用政策或組織政策的行為。 3. 發現惡意行為 (Something Found: Malicious)：發現活躍或歷史性的入侵，可能目前或曾將 IT 資產或數據置於風險之中。 ### 執行審查 * 目的：確保狩獵團隊的分析師專注於相關且重要的狩獵活動。 * 評估：分析師必須評估已完成的狩獵活動，並將所有可能的狩獵活動轉移到業務案例開發流程。 * 成為基礎狩獵：如果邏輯提供可重複的低可信度結果，應記錄在 MHTDB(Master Hunt Tracking Database)) 中。 * 成為規則：如果狩獵可轉化為規則，應將其文檔交付給業務案例開發流程，以應用於監控和警報設備，並轉移到 MHTDB。 * 有效性：狩獵可能會隨著時間推移失去有效性，需要評估資源是否應繼續投入。 * 狩獵的停用：當網路安全分析師（CyA）認為狩獵無法再提供有效結果時，應將原因記錄在 MHTDB 中以停用該狩獵。 ### 事件/事故輸出 #### 記錄 * 分析師將結果記錄在 MHTDB(Master Hunt Tracking Database) 中。 #### 分發 * 結果將作為輸入分發給 IR 功能或業務案例開發流程，並為 CTI 功能提供必要的回饋以改進分析報告。 #### 回饋機制： * 事件回應：如果狩獵始於 IR 功能的信息，則提供回饋有助於改進其輸出。 * 業務案例開發：如果發現高可信度、可重複的搜索在檢測異常或惡意活動方面有效，則將其邏輯交付給業務案例開發流程以創建或修改自動化規則。 * 網路威脅情報 (CTI)：提供回饋以改進 CTI 的分析，並判斷是否需要額外信息或是否能從狩獵中獲得可用情報。 ### THP 決策樹活動 #### 狩獵請求 (外部導向) * 輸入觸發事件：由 CTI (IOCs)、業務案例開發 (規則創建請求) 或 IR (事件回應活動) 觸發。 * RACI 矩陣 (概述)： * R (Responsible)：狩獵團隊 (分析請求，確定細節) * A (Accountable)：狩獵團隊負責人 (確保請求得到適當考慮) * C (Consulted)：觸發來源 (提供詳細上下文) * I (Informed)：觸發來源 (被告知分析的下一階段) * 細節：狩獵團隊分析請求並確定是否有足夠資訊進行評估。 * 輸出：需要評估的狩獵請求。 #### 開始狩獵？ * 細節：狩獵團隊與 IR 人員協調評估請求，以決定是否立即啟動狩獵。 * 評估標準： * CTI 觀察列表：CTI 團隊可獲取各種高可信度 IOC 的情報源。狩獵團隊基於這些指標啟動狩獵。 * IOC – 推薦狩獵：CTI 功能在分析師信心達到中高水平時提供 IOC 並推薦狩獵。 * IOC – 未推薦狩獵：CTI 功能在分析師信心達到中低水平時提供 IOC 但不推薦狩獵，狩獵團隊需進一步評估。 * 業務案例開發：可能提供 IOC 和補充行動方案，經 IR 團隊批准後可啟動狩獵。 * 事件回應：IR 功能可能指示進行 IOC 狩獵作為事件回應活動的一部分。 * IOC 評估準則： * 來源：來源提供高可信度指標的歷史記錄。 * 搜索難易度：是否存在搜索特定類型和格式 IOC 的能力。 * 相關性：IOC 與針對行業同業或相關群體的惡意活動相關。 * 曝露程度：IOC 與利用環境中已知漏洞的惡意活動相關。 * 現有覆蓋：現有安全解決方案是否已確認或不太可能具有針對 IOC 的檢測規則。 * 影響：IOC 與可能對資訊或系統造成重大損害的高影響活動相關。 #### 確定搜索時間線 * RACI 矩陣 (概述)： * R：IR 團隊負責人 (分析 IOC 和支援資訊) * A：狩獵團隊負責人 (確保時間線適當且符合要求) * C：觸發來源 (提供時間線輸入) * I：觸發來源 (被告知分析的下一階段) * 細節：IR 團隊根據 IOC 來源決定搜索時間線。 * 如果沒有推薦時間線，預設為九十 (90) 天。 #### 基於 IOC 類型進行狩獵 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (執行狩獵) * A：狩獵團隊負責人 (確保狩獵適當執行) * C：狩獵團隊 (就狩獵方法進行諮詢) * I：狩獵團隊 (被告知狩獵細節以確保協調) * 指導：根據 IOC 類型執行狩獵（所有歷史搜索均限制在規定時間線內）。 * Email：使用電子郵件安全解決方案搜索特定指標 (主旨、發件人、郵件內容)。 * File：在 FireEye HX® 等工具中創建新的指標，包含文件路徑、SHA-256、文件大小等條件。 * IP Address：搜索防火牆連接、網頁代理事件、IDS/IPS 事件、網頁應用程式防火牆事件，並創建新的指標包含網路連接條件。 * Network (string, traffic pattern, user agent)：審查外部、邊界和內部 IDS 日誌，搜索脆弱的外部系統上的網頁和應用程式日誌，以及網頁應用程式防火牆 (WAF)。 * Registry Key：在 FireEye HX® 等工具中創建新的指標。 * URL：搜索網頁代理事件和創建 DNS 查詢條件的指標。 * SIEM：如果無法直接存取安全設備，可利用 SIEM 或集中式日誌管理系統進行狩獵。 * 輸出：已完成的狩獵。 #### 結果 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保任何必要的轉介) * A：狩獵團隊負責人 (確保任何必要的轉介) * C：觸發來源 (在轉介或完成狩獵流程前諮詢) * I：觸發來源 (被告知狩獵結果) * 細節：狩獵結果為惡意、非惡意或未發現。 * 輸出：已完成的狩獵。 #### 轉交事件回應 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保將所有必要資訊轉交 IR 功能) * A：狩獵團隊負責人 (確保將所有必要資訊轉交 IR 功能) * C：事件回應團隊 (就轉介流程進行諮詢) * I：事件回應團隊 (被告知惡意發現) * 細節：狩獵團隊分析師編譯所有惡意發現的資訊，並轉交給 IR 功能。 * 輸出：轉介給受影響的 IR 功能。 #### 提出潛在合規問題 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保將所有必要資訊轉交相關內部功能) * A：狩獵團隊負責人 (確保將所有必要資訊轉交相關內部功能) * C：相關內部功能 (就轉介流程進行諮詢) * I：相關內部功能 (被告知非惡意發現) * 細節：狩獵團隊分析師編譯所有非惡意發現的資訊，並轉交給相關內部功能（包括高級領導層）以升級為合規問題。 * 輸出：轉介給相關內部功能。 #### 更新 MHTDB * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保 MHTDB 更新所有必要資訊) * A：狩獵團隊負責人 (確保 MHTDB 更新所有必要資訊) * C：不適用 * I：狩獵團隊觸發來源 (被告知狩獵完成和結果) * 細節：狩獵團隊分析師更新 MHTDB，並通知觸發來源狩獵已完成並提供結果。 * 輸出：已完成狩獵流程。 ### 基礎狩獵 (內部導向) * 目的：用於監控合規性及「內部威脅」活動。 * 觸發：可根據已知或懷疑的內部活動啟動，或用於對不符合政策的個人或子機構進行特別檢查。 #### RACI矩陣 * 排程狩獵 * RACI 矩陣 (概述)： * R：狩獵團隊 (維持狩獵排程意識) * A：狩獵團隊負責人 (確保遵守排程並適當管理資源) * 細節：基礎狩獵排程指定狩獵頻率，下次運行日期和時間記錄在 MHTDB 中。 * 輸出：基礎狩獵已排隊等待執行。 * 執行狩獵 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (執行狩獵) * A：狩獵團隊負責人 (確保狩獵適當執行) * 細節：狩獵團隊分析師根據 MHTDB 中建立的狩獵活動和搜索時間線執行狩獵。 * 輸出：狩獵完成。 * 結果 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保任何必要的轉介) * A：狩獵團隊負責人 (確保任何必要的轉介) * 細節：狩獵結果為惡意、非惡意或未發現。 * 輸出：已完成的狩獵。 * 轉交事件回應 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保將所有必要資訊轉交 IR 功能) * A：狩獵團隊負責人 (確保將所有必要資訊轉交 IR 功能) * 細節：所有關於狩獵和惡意發現的資訊由狩獵團隊分析師編譯，並提供給受影響的 IR 功能。 * 輸出：轉介給 IR 功能。 * 提出潛在合規問題 * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保將所有必要資訊提供給相關內部功能) * A：狩獵團隊負責人 (確保將所有必要資訊提供給相關內部功能) * 細節：所有關於狩獵和非惡意發現的資訊由狩獵團隊分析師編譯，並提供給相關內部功能以升級為合規問題。 * 輸出：轉交給相關內部功能。 * 更新 MHTDB * RACI 矩陣 (概述)： * R：狩獵團隊分析師 (確保 MHTDB 更新所有必要資訊) * A：狩獵團隊負責人 (確保 MHTDB 更新所有必要資訊) * 細節：狩獵團隊分析師更新 MHTDB 中所有關於已完成狩獵和結果的必要資訊。 * 輸出：已完成狩獵流程。 ### 指標 * 目的：狩獵計畫應向企業或機構領導層提供每週、每月和年度指標。 * 每週指標：報告過去七天審查的威脅、已識別和解決的 IOC，以及分發的最終分析報告。 * 每月指標：報告狩獵計畫功能（例如按攻擊生命週期進行的狩獵、狩獵結果、轉移到業務案例開發的狩獵、升級到 IR 團隊的狩獵）的指標、趨勢和資源利用。 * 年度指標：提供狩獵計畫的整體視角，確保其符合業務目標，並識別所需的額外資源和信息共享活動。 * 定性與定量指標：最佳指標是可衡量或量化且能為機構提供價值的指標。 * 風險報告矩陣的謬誤： * 問題：風險報告矩陣 (RRM) 引入了太多未經證實的未知數，其簡化的表示方式給使用者一種基於客觀數學精度的錯覺。 * 建議：應立即淘汰 RRM，因為它給予了評估風險的錯誤安全感。 * 替代方法：Hubbard 和 Seiersen (2016) 提出建立「定量風險評估」流程，它依賴網路安全領域專家的主觀專業知識，並產生客觀的數學輸出。這個方法包括分配主觀的機率分數和 90% 置信區間內的貨幣成本範圍。 ## 第二部分：威脅狩獵流程的戰術活動 * THP 戰術方法論 * 核心：一個有效的狩獵任務計畫依賴於四個領域，與情報社群的情報生命週期相似： 1. 指定 (Designate) 2. 獲取 (Acquire) 3. 分析 (Analyze) 4. 報告 (Reporting) * 協作：CTI 分析師和狩獵團隊分析師在整個 THP 方法論中將協同工作，IR 人員可能也扮演批准任何當前或持續行動的角色。 ### 1. 指定 (Designate) * 重點：發展一個或多個假設。 * 假設基礎：可基於內部業務場景、威脅暴露檢查 (基礎狩獵)、事件回應活動、CTI。 * 假設考量：來源可信度、搜索預期難易度、目標和相關可搜索數據、已知暴露、現有基礎設施和可見性、潛在影響。 * 假設問題：我們在尋找什麼？我們將在哪裡尋找？我們期望找到什麼或不找到什麼？為什麼要尋找它？它的存在或不存在會告訴我們什麼？誰或什麼將使用輸出？。 * 後續步驟：識別目標準則、與 IR 人員協調建立時間範圍和預期持續時間、識別執行資源和限制、建立預期結果、向領導層和利益相關者傳達意圖和範圍。 * 指標：可提供價值的數據欄位包括案例記錄、開放日期、預期和實際開始/結束時間、假設、客觀摘要、目標準則、來源或使用案例、利益相關者輸出、目標 IOC。 ### 2. 獲取 (Acquire) * 重點：訪問工具和數據以開始收集關鍵數據。 * 主要工具：Splunk®、FireEye HX®、FireEye PX Tech-Enabler® 等內部資訊和工具集。 * 聚合和準備目標數據：包括 IOC、CTI 提取物、事件回應數據、先前的狩獵任務數據和環境知識。 * 搜索基礎設施和數據：分析師根據 IOC 類型進行搜索，收集域名、HTTP 方法和代碼、端點註冊表信息、SMTP 頭部數據、文件名、路徑和類型、HTML/Java 源代碼、文件大小、URI 字串、URL、進程名稱、源和目標埠與協議、文件哈希、目標 IP、附件名稱和哈希、位元組計數（傳輸）、使用者代理字串、攻擊者/源 IP 等數據。 * 驗證搜索完成：分析師驗證數據並回答搜索是否可搜索、是否按預期完成、是否在可接受時間範圍內完成、是否有不理想或意外結果、是否有異常值（「黑天鵝」）問題。 * 初步分析：以分流方式進行，以確定是否檢測到即時或高影響威脅，如果是，則使用既定的 IR 計畫進行升級。 * 記錄發現與更新案例狀態：如果沒有發現，分析師將記錄發現並更新案例狀態，包括更新 MHTDB 以支持持續趨勢分析。 * 指標：建議的潛在指標數據欄位包括初步分析、實際相關目標數據、搜索的基礎設施、高可信度指標、搜索結果成功和失敗摘要、升級到 IR 功能。 ### 3. 分析 (Analyze) * 重點：一旦搜索完成，分析師將開始分析階段。 * 基本分析任務：根據需要修改和重新執行搜索、確定對 IT 環境的風險級別、通過 IP 地址等確定攻擊者的歸屬、驗證目標匹配、關聯上下文情報、修改目標搜索、發現新目標活動、排序數據集、制定分析產品、排序、連結和優先處理數據事件和威脅活動、識別額外指標 (IOC) 和目標活動、必要時根據新發現的數據啟動新的狩獵。 * 推斷分析：根據分析師對環境、操作暴露和業務情報因素的了解進行。 * 後續任務：確定基礎設施攻擊向量和相關的戰術、技術和程序 (TTPs)，以及現有安全控制的有效性，並提出改進建議。 * 指標：建議的數據欄位包括惡意發現、非惡意發現、分析決定、識別的惡意軟體變體、常見 IOC 或模式、檢測到的總 IOC、被利用的漏洞、受影響/目標業務單位、情報摘要數據、安全控制失敗和成功、受影響的基礎設施、受影響的地理位置、威脅行為者歸屬、暴露時間表。 ### 4. 報告 (Reporting) * 重點：完成分析並分發報告。 * 回饋：此階段的回饋對於持續流程改進至關重要。 * 核心任務： * 確定整體業務影響：考慮環境知識、組織暴露和當前業務情報。 * 發展威脅摘要：包括分析決定、受影響用戶、安全控制失敗/成功、受影響地理位置、受影響或目標業務單位或個人、情報要求。 * 制定策略展望和建議：基於觀察到的威脅，識別策略（和戰術）情報和收集中的差距，制定新的情報要求。 * 識別未來檢測的數據和警報：包括 CTI 門戶數據、CTI 流程元素、SIEM 觀察列表、安全控制中的阻止或警報。 * 利用情報：分析狩獵中收集的情報，以確定是否應開發新的業務案例或基礎狩獵，並更新情報生命週期。 * 減輕未來暴露：與安全工程師、網路安全專業人員、顧問和主題專家討論減輕未來風險的方法。 * 分發和交付情報報告：獲取流程改進的回饋，通常會產生分析備註和 MHTDB 更新，如果發生更廣泛的事故，則需要正式的事後報告 (AAR)。 * 指標：建議的數據欄位包括已實現的組織影響、完整的威脅報告或威脅摘要、趨勢分析期間收集的所有數據的存檔、報告分發追蹤、基於已完成狩獵的新情報要求、事後項目、情報差距、流程或收集差距、利益相關者資訊/情報請求 (RFI) 和產品變更請求 (RFC)。