Polowania oparte na danych polegają na poszukiwaniu anomalii w stosach danych w organizacji. Najlepszym sposobem na tego typu polowania jest wykorzystanie platformy analitycznej, takiej jak Splunk lub Elasticsearch, do przedzierania się przez stogi danych w poszukiwaniu igieł. Co więcej, tradycyjne urządzenie do zarządzania zdarzeniami związanymi z informacjami o zabezpieczeniach (SIEM) jest cennym punktem wyjścia do poszukiwań opartych na danych. Jednak łowca zagrożeń prawdopodobnie przerośnie możliwości nawet najlepszych dostępnych SIEM, szczególnie gdy zacznie wykonywać łączenia wewnętrzne i zewnętrzne na różnych źródłach danych, w tym na źródłach danych nieustrukturyzowanych, co jest trudne, jeśli nie niemożliwe w przypadku większości SIEM.