Skip to content

Wie würden Sie einen TTP-basierten Threat Hunt mit MITRE ATT&CK strukturieren, und was macht einen guten Hunt aus?

Kurzantwort

TTP-basiertes Hunting nutzt MITRE ATT&CK als Karte: Wählen Sie eine für Ihr Bedrohungsmodell relevante Technik (idealerweise eine mit schwacher Abdeckung), bilden Sie eine konkrete Hypothese, wie sie in Ihrer Telemetrie erscheinen würde, identifizieren Sie die Datenquellen, die sie offenbaren, fragen Sie ab und analysieren Sie die Treffer. Ein guter Hunt ist abgegrenzt, hypothesengetrieben, an ein echtes Angreiferverhalten gebunden, wiederholbar und erzeugt ein dauerhaftes Ergebnis — eine neue Erkennung, eine dokumentierte Abdeckungslücke oder den Nachweis, dass die Technik nicht vorhanden ist — unabhängig davon, ob er eine Kompromittierung findet.

TTP-basiertes Hunting dreht den Spieß um: Statt Indikatoren zu verfolgen, verfolgt man Verhaltensweisen. MITRE ATT&CK liefert Ihnen einen gemeinsamen, strukturierten Katalog dafür, wie Angreifer vorgehen, und Sie nutzen ihn sowohl als Zielliste als auch als Abdeckungskarte.

Den Hunt strukturieren

  1. Eine Technik auswählen — wählen Sie aus ATT&CK nach Ihrem Bedrohungsmodell: Techniken, die von Gruppen verwendet werden, die Ihre Branche ins Visier nehmen, oder solche, bei denen der ATT&CK Navigator eine schwache Erkennungsabdeckung zeigt.
  2. Eine Hypothese bilden — machen Sie sie überprüfbar und umgebungsspezifisch: «Wenn ein Angreifer hier T1003, LSASS-Credential-Dumping, einsetzte, würde ich sehen, wie Nicht-System-Prozesse ein Handle auf lsass.exe öffnen.»
  3. Der Telemetrie zuordnen — identifizieren Sie die genauen Datenquellen (Prozesszugriff, Befehlszeile, Modul-Ladevorgang), die sie offenbaren würden, und bestätigen Sie, dass Sie sie sammeln.
  4. Abfragen und analysieren — führen Sie die Suche aus und trennen Sie dann echtes Signal von gutartiger Aktivität mit Kontext (Elternprozess, Signierer, Benutzer).
  5. Dokumentieren und operationalisieren — halten Sie Methode und Ergebnisse fest; überführen Sie bestätigtes Verhalten in eine Sigma-Regel und aktualisieren Sie Ihre Abdeckungskarte.

Was einen guten Hunt ausmacht

Ein guter Hunt ist abgegrenzt (eine klare Frage, nicht «finde das Böse»), hypothesengetrieben, in einem echten Angreiferverhalten verankert, wiederholbar und produktiv — er hinterlässt eine Erkennung, eine dokumentierte Lücke oder begründete Gewissheit, dass die Technik nicht vorhanden ist. Keine Kompromittierung zu finden ist ein gültiges, nützliches Ergebnis.

Warum das wichtig ist

Senior-Interviewer suchen nach einer ATT&CK-getriebenen Struktur, einer falsifizierbaren Hypothese, einer Telemetriezuordnung und einem dauerhaften Ergebnis. «Ich schaue einfach im SIEM nach seltsamen Dingen» signalisiert einen unreifen, nicht wiederholbaren Ansatz.

Wahrscheinliche Anschlussfragen

  • Wie priorisieren Sie, welche ATT&CK-Technik Sie zuerst jagen?
  • Was bringt eine ATT&CK-Navigator-Abdeckungs-Heatmap einem Hunting-Programm?
  • Warum ist ein wiederholbarer, dokumentierter Hunt besser als ein Ad-hoc-Hunt?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.