脅威ハンティングのエコシステムに、新たなオープンソースプロジェクトが登場した。狙いは、この分野で最もしつこい課題の一つ――調査が終わった途端に文脈が失われること――に対処することだ。Agentic Threat Hunting Framework(ATHF)は、脅威ハンティング・プログラムのための「記憶と自動化のレイヤー」を標榜している。新しい方法論を押し付けるのではなく、過去のハント、発見事項、クエリが人間のアナリストにもAIアシスタントにもアクセス可能な形で残るよう、作業の整理を支援する。
ATHFの作成者は、よくある状況から話を始める。ハントは完了したが、知見はSlackのスレッド、チケットシステム、アナリスト個人のメモへと散逸してしまう。SIEMやEDRのクエリは一度書かれて忘れ去られ、結論は人の頭の中にしか残らず、メンバーが入れ替わると苦労して得た経験が失われがちだ。AIツールではこの問題がさらに顕著になる。自分たちの環境や過去の調査に関する「記憶」がなければ、毎回ゼロから始めざるを得ない。ATHFは、シンプルなドキュメント形式とハントの体系的なカタログ化を提供することでこのギャップを埋め、検索・レビュー・再利用を可能にしようとしている。
このプロジェクトの中核にあるのは、Markdownベースのアプローチだ。ハントは明確で人間が読めるドキュメントとして書かれ、リポジトリに保存され、徐々にナレッジベースへと進化していく。一貫性を担保するため、ATHFはLOCKテンプレート(Learn → Observe → Check → Keep)を導入する。まず脅威インテリジェンス、アラート、異常から文脈を収集し、次に攻撃者の振る舞いに関する仮説を立て、その仮説を狙いを定めたクエリで検証し、最後に結果と学びを記録する。この構造は、日常的に使えるほど意図的にシンプルでありながら、エージェントやアシスタントが「理解」して、過去の記録に基づきより精密なチェックを提案できるだけの形式性も備えている。
ATHFはまた、エージェント型脅威ハンティングの5つの「成熟度レベル」も定義している。レベル0は、すべてがチャットと断片的なメモに散らばっている状態から始まり、AIがハント履歴を読むだけでなく、連携を通じてクエリを実行し、最終的には自律的に監視・対応する段階へと進む。ただし著者らは、ほとんどのチームにとって最初の2段階で十分だと強調する。つまり、基本的なドキュメント化と、過去の調査を横断して検索できる状態から始めることだ。より高度で完全にエージェント主導のシナリオは任意であり、実装には時間と労力が必要になる。
単なるMarkdownファイル以上のものを求める人向けに、このプロジェクトにはCLIツールも含まれている。PyPIからagentic-threat-hunting-frameworkパッケージとしてインストールでき、その後athf initでワークスペースを初期化する。そこからアナリストは新しいハントを作成し、MITRE ATT&CKのテクニックに紐付け、対象プラットフォームを指定できる。CLIは、ハントの一覧表示、内容検索、エントリ検証、統計やATT&CKカバレッジの表示もサポートする。同時にATHFは「ゼロインストール」アプローチも支援している。チームはリポジトリをクローンしてテンプレートでハントの記録を始めるだけでもよく、必要に応じて自分たちの環境やデータソースを記述するファイルを設定し、アシスタントに文脈を提供できる。
ATHFの重要なメッセージは、アナリストを置き換えたり「すべてを自動化」したりする試みではない、という点だ。むしろ著者らは、記憶は力を増幅するものだと主張する。組織が人員の入れ替わりや忘れられたメモによって知識を失わなくなり、AIが過去の調査や環境固有の情報という文脈を得ると、AIは当て推量のチャットボットから、専門家の能力を真に増幅するアシスタントへと進化する。例として、リポジトリにはAppleScriptを介してSafariのCookieを収集するmacOSのインフォスティーラーを発見したハントのサンプルが含まれており、純粋なシグネチャベース検知よりも行動シグナルが有用であることを示している。
このプロジェクトはMITライセンスの下でGitHubに公開されており、説明によれば、あらゆるSIEMやEDRで動作し、PEAKやTaHiTIのような方法論とも併用できるよう設計されている。全体を貫くメッセージは意図的に実務的だ。小さく始めよう――単一のハントを記録し、構造を与え、時間をかけてプログラムの「記憶」を徐々に構築していけば、やがてそれがチーム自身のために機能し始める。
