Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Defensive Security

Threat Hunting

Eine proaktive Cybersicherheitsdisziplin, in der Analysten Hypothesen über Bedrohungen aufstellen, suchen und untersuchen, die bestehende Verteidigungen umgangen haben, mithilfe von Telemetrie, Threat Intelligence und Verhaltensmodellen, um bereits in der Umgebung präsente Angreifer zu erkennen.

Autor
Unihackers Team
Lesezeit
2 Min. Lesezeit
Zuletzt aktualisiert

Warum Es Wichtig Ist

Erkennungstechnologien können nicht jeden Angriff abfangen. Raffinierte Gegner mischen sich unter normale Aktivität, missbrauchen legitime Tools (Living-off-the-Land) und arbeiten langsam genug, um Schwellenwerte zu vermeiden. Der IBM Cost of a Data Breach Report zeigt durchgängig: Median-Dwell-Time über 200 Tage ohne aktives Hunting.

Threat Hunting verändert die Rechnung: Statt auf Alarme zu warten, gehen Hunter von einer Kompromittierung aus und suchen nach Beweisen. Reife Programme dokumentieren hunderte von Erkennungen, die aus Hunts entstanden sind.

Der Hunting-Zyklus

1. Hypothese entwickeln

Spezifisch und testbar, abgeleitet aus Threat Intel, jüngsten Vorfällen oder MITRE ATT&CK-Techniken.

2. Mit Daten untersuchen

EDR-, Identitäts-, Netzwerk- und Cloud-Telemetrie auswerten. Frequenzanalyse, Stack Counting, Outlier-Erkennung, Timeline-Rekonstruktion anwenden.

hunt-beispiel.kql
KQL
// KQL-Hunt für verdächtige WMI-Aktivität
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ProcessCommandLine has_any ("wmic", "Invoke-WmiMethod")
| where ProcessCommandLine has_any ("process call create", "/node:")
| summarize Count=count(), Devices=dcount(DeviceName) by InitiatingProcessAccountName
| where Devices >= 3
| order by Count desc

3. Dokumentieren

Bestätigt, widerlegt oder unklar, dokumentieren, was gelernt wurde.

4. Detection Engineering

Erfolgreiche Hunts in automatische Erkennungen umwandeln (Sigma, EDR Custom, SIEM-Korrelationen).

5. Hand-off

Bestätigte Kompromittierungen gehen an Incident Response. Der Zyklus wiederholt sich.

Methodologien

AnsatzBeschreibungWann
HypothesengetriebenTTP-basiertReife Programme
Intelligence-drivenIOCs aus BerichtenNach gezielten Warnungen
AnomalieStatistische OutlierBegrenzte Threat Intel
Crown JewelsKritische AssetsBeschränkte Ressourcen
HybridKombinationReale Programme

Pyramid of Pain

Häufige Hypothesen

  • Verdächtiger LSASS-Zugriff (T1003)
  • Unsignierte Binaries aus Temp
  • Anomales PowerShell mit codierten Befehlen
  • Ungewöhnliche Parent-Child-Prozessbeziehungen
  • DNS-Beaconing-Muster
  • Interaktive Service-Konto-Logons
  • Neue geplante Aufgaben mit erhöhten Rechten

Programmaufbau

  1. Baselines etablieren.
  2. MITRE ATT&CK adoptieren.
  3. Telemetrie zentralisieren (90+ Tage).
  4. Regelmäßige Hunts dokumentiert.
  5. Outputs messen.

Verwandte Konzepte

Im Bootcamp

Wie wir Threat Hunting unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Threat Hunting in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive