Threat Hunter
Was ist Threat Hunter?
Threat HunterErfahrener Verteidiger, der proaktiv die Telemetrie eines Unternehmens nach Angreifer-Aktivitäten durchsucht, die bestehende Detektionen umgangen haben — auf Basis von Hypothesen, Threat Intelligence und Verhaltensanalysen.
Ein Threat Hunter ist ein erfahrener Verteidiger, der proaktiv nach böswilliger Aktivität sucht, die der automatisierten Erkennung entgangen ist. Die Arbeit ist hypothesengetrieben: Ausgehend von MITRE-ATT&CK-Techniken, Threat-Intelligence-Berichten oder Anomalien gegenüber Baselines bewegt sich der Hunter durch Telemetrie aus EDR, SIEM, Identitäten, Cloud und Netzwerk, um die Präsenz eines Angreifers zu bestätigen oder auszuschließen. Hunter arbeiten eng mit Detection Engineers zusammen, um erfolgreiche Hunts in dauerhafte Detektionen zu überführen, und mit Incident Respondern, sobald aus einer Jagd eine Untersuchung wird. Die Rolle ist üblicherweise im SOC oder in einer dedizierten Cyber-Defense-Gruppe verortet und berichtet an einen SOC-Manager oder Head of Detection. Typische Qualifikationen sind mehrere Jahre Tier-2/3-SOC- oder DFIR-Erfahrung und Zertifizierungen wie GCFA, GCDA, GCIH oder CRTO.
● Beispiele
- 01
Suche im EDR-Bestand nach Living-off-the-Land-Binaries, die von Ransomware-Affiliates missbraucht werden.
- 02
Durchsuche Cloud-Audit-Logs nach ungewöhnlichen Cross-Account-AssumeRole-Ketten, die zu jüngsten Cozy-Bear-TTPs passen.
● Häufige Fragen
Was ist Threat Hunter?
Erfahrener Verteidiger, der proaktiv die Telemetrie eines Unternehmens nach Angreifer-Aktivitäten durchsucht, die bestehende Detektionen umgangen haben — auf Basis von Hypothesen, Threat Intelligence und Verhaltensanalysen. Es gehört zur Kategorie Rollen und Karriere der Cybersicherheit.
Was bedeutet Threat Hunter?
Erfahrener Verteidiger, der proaktiv die Telemetrie eines Unternehmens nach Angreifer-Aktivitäten durchsucht, die bestehende Detektionen umgangen haben — auf Basis von Hypothesen, Threat Intelligence und Verhaltensanalysen.
Wie funktioniert Threat Hunter?
Ein Threat Hunter ist ein erfahrener Verteidiger, der proaktiv nach böswilliger Aktivität sucht, die der automatisierten Erkennung entgangen ist. Die Arbeit ist hypothesengetrieben: Ausgehend von MITRE-ATT&CK-Techniken, Threat-Intelligence-Berichten oder Anomalien gegenüber Baselines bewegt sich der Hunter durch Telemetrie aus EDR, SIEM, Identitäten, Cloud und Netzwerk, um die Präsenz eines Angreifers zu bestätigen oder auszuschließen. Hunter arbeiten eng mit Detection Engineers zusammen, um erfolgreiche Hunts in dauerhafte Detektionen zu überführen, und mit Incident Respondern, sobald aus einer Jagd eine Untersuchung wird. Die Rolle ist üblicherweise im SOC oder in einer dedizierten Cyber-Defense-Gruppe verortet und berichtet an einen SOC-Manager oder Head of Detection. Typische Qualifikationen sind mehrere Jahre Tier-2/3-SOC- oder DFIR-Erfahrung und Zertifizierungen wie GCFA, GCDA, GCIH oder CRTO.
Wie schützt man sich gegen Threat Hunter?
Schutzmaßnahmen gegen Threat Hunter kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Threat Hunter?
Übliche alternative Bezeichnungen: Cyber Threat Hunter, Adversary Hunter.
● Verwandte Begriffe
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
- roles№ 989
Security Analyst (SOC Tier 1/2/3)
Mitarbeiter eines Security Operations Center, der Alarme überwacht, Vorfälle untersucht und Bedrohungen eskaliert; üblicherweise vom Tier-1-Triage bis zur Tier-3-Tiefenanalyse gestaffelt.
- roles№ 523
Incident Responder
Spezialist, der die technische Reaktion auf bestätigte Sicherheitsvorfälle leitet oder unterstützt — von Containment und Eradication über Forensik bis zur Wiederherstellung — und sich mit Recht, Kommunikation und Geschäftsführung abstimmt.
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 057
APT-Gruppe
Benannter, verfolgter (meist staatlich gefoerderter) Bedrohungsakteur, der gezielte, langfristige und gut ausgestattete Intrusionskampagnen gegen bestimmte Organisationen fuehrt.