為應變大量資安事件，以及避免受到資安系統所產生的誤報影響，企業資安防禦策略逐漸由被動的阻擋機制，轉向為威脅獵捕等主動式防禦。本議程中，將帶領聽眾深入探討如何設計一套基於機器學習的威脅獵捕系統－－Fuchikoma，利用 Fuchikoma 將調查過程的經驗自動化、快篩告警，並產生攻擊過程的前後脈絡資訊。透過本次議程，希望令聽眾了解如何應用機器學習技術建置威脅獵捕系統，並進一步協助分析人員快速找出及專注於高風險事件的分析；而除了自動分析，提供資訊給分析人員進行根因分析、自動標籤攻擊上下文，對分析人員的工作亦可產生相當大的助益。

在本議程中，將以處理 Event Log 中的 Process Creation 為例。首先，Fuchikoma 利用Analysis-unit Builder 彙整所有 Event Log 資訊並轉換成分析單元 (Analysis Units)，上述分析單元包含了 Children Process 及 Parent Process 等上下文相關資訊，而透過圖學的群落結構分析 (Community Detection)，能夠找出相關連的分析單元，進一步結合異常偵測來找出異常項目；於此同時，也整合原有的偵測規則，將 MITRE ATT&CK 攻擊手法進行標註。最後，對於高風險的結構，利用 Topic Model 來提供分析人員額外的分析資訊。議程內容中我們將深入探討各個模組，並分享其實驗成果。