Polowanie na zagrożenia to systematyczny proces polowania na przeciwnika, który już znajduje się w sieci. Mówimy o włamaniu, które już się rozpoczęło, a celem jest skrócenie czasu, jaki osoba atakująca może przebywać w sieci. Po wykryciu atakującego można zastosować odpowiednią reakcję na incydent, aby usunąć go z sieci i przywrócić normalne działanie. Dlatego też polowanie na zagrożenia nie jest reakcją na incydenty, chociaż pod wieloma względami oba te podmioty współpracują ze sobą i często w ich skład wchodzą osoby o tych samych umiejętnościach. Jednak w idealnym przypadku istnieje oddzielny zespół poszukujący zagrożeń, który cały czas poluje na wszelkich przeciwników w sieci. W organizacji o ograniczonych budżetach myśliwy może zmienić kapelusz po wykryciu przeciwnika i pełnić funkcje reagowania na incydenty. Podobnie łowca zagrożeń nie jest testerem penetracji. Ponownie, obaj mogą mieć podobne doświadczenie i umiejętności, ale sposób myślenia jest inny. Tester penetracji szuka sposobów na wejście do sieci i przez nią, aby odkryć luki w zabezpieczeniach i je naprawić, zanim znajdzie je przeciwnik. Łowca zagrożeń zakłada, że naruszenie już miało miejsce i jest bardziej skupiony na znalezieniu tropu przeciwnika i wykryciu go po wejściu do sieci, niż (początkowo) na tym, jak przeciwnik się tam dostał.