Threat Hunting
Was ist Threat Hunting?
Threat HuntingProaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
Threat Hunting bedeutet, von einer Kompromittierung auszugehen und gezielt nach ihr zu suchen. Analysten formulieren Hypothesen auf Basis von TTPs, Threat Intelligence oder bekannten Schwächen und prüfen sie gegen EDR-, SIEM-, Netzwerk- und Cloud-Telemetrie. Im Gegensatz zum reaktiven, alarmgetriebenen Triage ist Hunting iterativ und explorativ; das Ziel sind sowohl aktive Intrusionen als auch Detektionslücken, die zu neuen automatisierten Regeln werden. Reife Programme arbeiten mit Methoden wie dem PEAK-Framework oder hypothesengetriebenen Hunts entlang von MITRE ATT&CK. Ergebnisse sind Hunt-Reports, neue Detections und Verbesserungen an Logging und Visibility.
● Beispiele
- 01
Hunt nach Impossible-Travel-Anmeldungen gegen Microsoft 365 in den letzten 30 Tagen.
- 02
Hunt nach Hosts, auf denen ein signiertes Binary ungewöhnlich eine unsignierte DLL lädt (DLL Sideloading).
● Häufige Fragen
Was ist Threat Hunting?
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Threat Hunting?
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.
Wie schützt man sich gegen Threat Hunting?
Schutzmaßnahmen gegen Threat Hunting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.