Skip to content

Was ist Threat Hunting, und wie unterscheidet es sich vom Warten auf Alarme?

Kurzantwort

Threat Hunting ist die proaktive, hypothesengetriebene Praxis, Telemetrie nach Aktivitäten eines Angreifers zu durchsuchen, die vorhandene Erkennungen verpasst haben. Anders als das Alarm-Triage — das reaktiv ist und darauf wartet, dass ein Werkzeug auslöst — beginnt das Hunting mit einer Frage («wenn ein Angreifer X täte, welche Spuren würde ich sehen?»), prüft sie gegen die Daten und findet entweder etwas oder erzeugt eine neue Erkennung. Es geht davon aus, dass Prävention und Alarme unvollkommen sind und ein entschlossener Angreifer bereits drinnen sein könnte.

Threat Hunting beginnt mit einer unbequemen Annahme: Ihre präventiven Kontrollen und Ihre Alarme sind nicht perfekt, und ein fähiger Angreifer agiert vielleicht bereits in der Umgebung, ohne irgendetwas auszulösen. Hunting ist die bewusste Anstrengung, diesen Angreifer zu finden, bevor er sein Ziel erreicht.

Proaktiv vs. reaktiv

Das Alarm-Triage ist reaktiv: Ein Werkzeug entscheidet, dass etwas verdächtig ist, ein Alarm wird ausgelöst, und ein Analyst reagiert. Es erfasst nur das, wofür bereits jemand eine Regel geschrieben hat. Threat Hunting ist proaktiv: Der Hunter sucht nach Aktivitäten, die noch keine Regel beschreibt, und arbeitet dabei mit den Daten, die das SOC ohnehin sammelt.

Hypothesengetrieben

Ein guter Hunt ist kein zielloses Starren auf Logs. Er beginnt mit einer überprüfbaren Hypothese, oft so formuliert: «Wenn ein Angreifer X in unserer Umgebung täte, welche Artefakte würde das hinterlassen, und wo?» Zum Beispiel: «Wenn ein Angreifer ein LOLBin zum Herunterladen nutzt, sollte ich sehen, wie certutil oder bitsadmin ausgehende Verbindungen zu nicht-firmeneigenen Hosts aufbaut.» Der Hunter fragt dann die Telemetrie ab, um dies zu bestätigen oder zu widerlegen.

Wie Erfolg aussieht

Ein Hunt, der keine Kompromittierung findet, ist trotzdem wertvoll, wenn er etwas Dauerhaftes hervorbringt: eine neue Erkennungsregel, eine dokumentierte Abdeckungslücke, eine verbesserte Baseline oder die Gewissheit, dass eine Technik nicht vorhanden ist. Das schlechteste Ergebnis ist ein Hunt, der kein wiederverwendbares Artefakt hinterlässt.

Warum das wichtig ist

Interviewer wollen hören, dass Sie Hunting als Disziplin verstehen — Kompromittierung annehmen, eine Hypothese bilden, sie gegen echte Daten prüfen und die Ergebnisse in die Erkennung zurückführen. Kandidaten, die Hunting mit «Alarme intensiver lesen» oder «einen Scanner laufen lassen» verwechseln, zeigen, dass sie es nie getan haben.

Wahrscheinliche Anschlussfragen

  • Woher beziehen Sie die Hypothesen, auf denen Sie Ihre Hunts aufbauen?
  • Was ist ein gutes Ergebnis eines Hunts, der nichts Bösartiges findet?
  • Wie messen Sie, ob ein Hunting-Programm funktioniert?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.