4.6.2　发现阶段

威胁生命周期管理的下一个阶段是发现阶段。这是在组织建立可见性，从而可以足够早地检测到攻击之后进行的。这一阶段可以通过两种方式实现。

第一个是搜索分析。这是组织IT员工执行软件辅助分析的方式。通过搜索分析可以查看报告，并从网络和防病毒安全工具中识别已知或报告的异常。此过程属于劳动密集型类型，因此不应成为整个组织应该依赖的唯一分析方法。

实现此阶段的第二种方式是使用机器分析。这是纯粹由机器或软件完成的分析。这样的软件具有机器学习能力，因此具有人工智能功能，使它们能够自主扫描大量数据，并提供简短和简化的结果以供进一步分析。据估计，在不久的将来，几乎所有的安全工具都将具备机器学习能力。机器学习简化了威胁发现过程，因为它是自动化的，并且可以不断地自行学习新的威胁。