威胁猎杀是一种协同配合的工作方法，基于工作性质、工作重点部位与参与人员组织，安天将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面。三个层面相应人员在负责各自工作的同时，也会根据其他层次的输入信息进行工作，并生成相应的输出信息给予不同的层面，实现五个层次相互之间的协同联动进而展开威胁猎杀工作。

威胁猎杀分析层面

通过威胁检测服务和威胁巡检服务完成此部分工作。威胁猎杀初期，需要准备信息采集需求和部署方案，并向现场下发观测信息采集节点部署需求。威胁猎杀分析师对观测信息库、报告库中的信息进行观测调查，并结合威胁知识，产生初步的异常，汇总调查观测信息形成威胁线索。对威胁线索进行综合分析并结合威胁知识提出/更新假设，确定调查观测方向，进而开展定向观测调查，汇总定向调查观测信息形成新威胁线索，进行下一个周期。为了保证信息量充足，需定期启动对全量信息的观测调查。

现场协同与后台支撑服务层面

通过人工调查分析服务完成此部分工作。现场工程师协同系统管理员、控制工程师、安全管理员完成现场协同，逆向分析工程师为现场协同提供后台支撑服务。具体来说，现场相关人员根据下发的增补清单增补部署观测信息采集点，基于现场取证节点清单进行取证调查，并向后台提交样本和相关信息。逆向分析工程师在后台对样本进行一系列分析之后，为现场输出样本分析报告，并提供专查工具和EDR/NDR特征包。现场相关人员基于专查工具和EDR/NDR特征包指导现场排查工作，并基于现场排查上报的感染清单，协同配合完成处置工作。同时，现场相关人员会向报告库提交取证、样本与感染报告。

现场排查层面

通过应急处置服务和专杀开发服务完成此部分工作。基于下发的特征包及其加载指南、专查工具及其使用手册，指挥协调员协同客户系统管理员、安全管理员、控制工程师以及厂商维护工程师开展现场排查。根据网络信息系统中不同业务场景，现场排查可分为自动化和手工排查两种。对于包含EDR/NDR等安全防御措施的业务场景，基于特征包及其加载指南进行自动化排查；对于无法进行自动化排查的业务场景，则基于专查工具及其使用手册开展手工排查。