Skip to content

Wie entscheiden Sie, welche Logquellen und Telemetrie Sie benötigen, um wirksam zu jagen?

Kurzantwort

Beginnen Sie bei den Techniken, die Sie erkennen wollen, und arbeiten Sie rückwärts zur Telemetrie, die sie offenbart — ATT&CKs Datenquellen-Mapping hilft. In der Praxis sind die wertvollsten Quellen die Endpoint-Telemetrie zu Prozessen/Befehlszeilen und Modul-Ladevorgängen (EDR/Sysmon), Authentifizierungs- und Identitätslogs, DNS und Proxy-/Netzwerkflüsse sowie Cloud-Control-Plane-Logs. Anschließend prüfen Sie, was Sie tatsächlich sammeln und aufbewahren, gegen das, was jede Technik benötigt, und decken so Sichtbarkeitslücken auf. Eine Technik, die in keinem Log sichtbar ist, ist noch nicht jagbar.

Sie können nicht jagen, was Sie nicht sehen können. Die erste Frage bei jedem Hunt ist nicht «welche Abfrage führe ich aus», sondern «habe ich überhaupt die Daten, die dieses Verhalten offenbaren würden, mit ausreichender Genauigkeit und Aufbewahrung?»

Bei der Technik beginnen, nicht bei den Daten

Arbeiten Sie rückwärts. Wählen Sie die Techniken, die Ihnen wichtig sind — ATT&CK ordnet jeder die Datenquellen zu, die sie offenlegen (Prozesserstellung, Befehlsausführung, Modul-Ladevorgang, Anmeldung, Netzwerkverbindung, Dateierstellung). Dieses Mapping verwandelt «welche Logs brauche ich» in eine konkrete Einkaufsliste, die von der Bedrohung getrieben wird, nicht von dem, was zufällig ins SIEM fließt.

Die wertvollen Quellen

  • Endpoint — Prozesserstellung mit vollständiger Befehlszeile, Eltern-/Kind-Beziehungen, Modul-/DLL-Ladevorgänge sowie Registry-/Datei-Ereignisse. EDR oder Sysmon. Hier wird das meiste Angreiferverhalten sichtbar.
  • Identität und Authentifizierung — Windows-Anmeldeereignisse, Anmeldeprotokolle von Entra ID / Okta, Kerberos-Aktivität. Unerlässlich für Anmeldedatenmissbrauch und laterale Bewegung.
  • Netzwerk — DNS-Abfragen, Proxy-/Web-Logs und Flussdaten für C2 und Exfiltration.
  • Cloud-Control-Plane — CloudTrail, Azure-Aktivitätsprotokolle, Audit-Logs für Cloud-TTPs.

Die Lücken prüfen

Vergleichen Sie, was jede Zieltechnik benötigt, mit dem, was Sie tatsächlich sammeln und aufbewahren. Befehlszeilen-Logging aus? Sie sind blind gegenüber LOLBins. 7 Tage Aufbewahrung? Sie verpassen langsam schwelende Eindringversuche. Dokumentieren Sie diese Lücken als Befunde.

Warum das wichtig ist

Interviewer wollen sehen, dass Sie von der Bedrohung zur Telemetrie schließen und Sichtbarkeitslücken als erstrangige Probleme behandeln — und nicht jemand sind, der annimmt, die Daten seien bereits vorhanden.

Wahrscheinliche Anschlussfragen

  • Warum ist das Logging der Prozess-Befehlszeile so wertvoll, und wie aktiviert man es?
  • Wie schränken Aufbewahrungsgrenzen ein, wonach Sie jagen können?
  • Was bringt Ihnen ein ATT&CK-Mapping von Datenquelle zu Technik?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.