Wie entscheiden Sie, welche Logquellen und Telemetrie Sie benötigen, um wirksam zu jagen?
Kurzantwort
Beginnen Sie bei den Techniken, die Sie erkennen wollen, und arbeiten Sie rückwärts zur Telemetrie, die sie offenbart — ATT&CKs Datenquellen-Mapping hilft. In der Praxis sind die wertvollsten Quellen die Endpoint-Telemetrie zu Prozessen/Befehlszeilen und Modul-Ladevorgängen (EDR/Sysmon), Authentifizierungs- und Identitätslogs, DNS und Proxy-/Netzwerkflüsse sowie Cloud-Control-Plane-Logs. Anschließend prüfen Sie, was Sie tatsächlich sammeln und aufbewahren, gegen das, was jede Technik benötigt, und decken so Sichtbarkeitslücken auf. Eine Technik, die in keinem Log sichtbar ist, ist noch nicht jagbar.
Sie können nicht jagen, was Sie nicht sehen können. Die erste Frage bei jedem Hunt ist nicht «welche Abfrage führe ich aus», sondern «habe ich überhaupt die Daten, die dieses Verhalten offenbaren würden, mit ausreichender Genauigkeit und Aufbewahrung?»
Bei der Technik beginnen, nicht bei den Daten
Arbeiten Sie rückwärts. Wählen Sie die Techniken, die Ihnen wichtig sind — ATT&CK ordnet jeder die Datenquellen zu, die sie offenlegen (Prozesserstellung, Befehlsausführung, Modul-Ladevorgang, Anmeldung, Netzwerkverbindung, Dateierstellung). Dieses Mapping verwandelt «welche Logs brauche ich» in eine konkrete Einkaufsliste, die von der Bedrohung getrieben wird, nicht von dem, was zufällig ins SIEM fließt.
Die wertvollen Quellen
- Endpoint — Prozesserstellung mit vollständiger Befehlszeile, Eltern-/Kind-Beziehungen, Modul-/DLL-Ladevorgänge sowie Registry-/Datei-Ereignisse. EDR oder Sysmon. Hier wird das meiste Angreiferverhalten sichtbar.
- Identität und Authentifizierung — Windows-Anmeldeereignisse, Anmeldeprotokolle von Entra ID / Okta, Kerberos-Aktivität. Unerlässlich für Anmeldedatenmissbrauch und laterale Bewegung.
- Netzwerk — DNS-Abfragen, Proxy-/Web-Logs und Flussdaten für C2 und Exfiltration.
- Cloud-Control-Plane — CloudTrail, Azure-Aktivitätsprotokolle, Audit-Logs für Cloud-TTPs.
Die Lücken prüfen
Vergleichen Sie, was jede Zieltechnik benötigt, mit dem, was Sie tatsächlich sammeln und aufbewahren. Befehlszeilen-Logging aus? Sie sind blind gegenüber LOLBins. 7 Tage Aufbewahrung? Sie verpassen langsam schwelende Eindringversuche. Dokumentieren Sie diese Lücken als Befunde.
Warum das wichtig ist
Interviewer wollen sehen, dass Sie von der Bedrohung zur Telemetrie schließen und Sichtbarkeitslücken als erstrangige Probleme behandeln — und nicht jemand sind, der annimmt, die Daten seien bereits vorhanden.
Wahrscheinliche Anschlussfragen
- Warum ist das Logging der Prozess-Befehlszeile so wertvoll, und wie aktiviert man es?
- Wie schränken Aufbewahrungsgrenzen ein, wonach Sie jagen können?
- Was bringt Ihnen ein ATT&CK-Mapping von Datenquelle zu Technik?