search close

Lösungen
- Nach Aufgabe
  - Nach Aufgabe
    - Nach Aufgabe
      Mehr erfahren
  - Mehr Cybersicherheit mit KI- und für KI
    - Mehr Cybersicherheit mit KI- und für KI
      Mehr erfahren
  - NIS2-Richtlinie
    - NIS2-Richtlinie
      Mehr erfahren
  - Risiken verstehen, priorisieren und eindämmen
    - Risiken verstehen, priorisieren und eindämmen
      
      Minimieren Sie Risiken durch Angriffsflächenmanagement.
      Mehr erfahren
  - Schutz für Cloud-native Anwendungen
    - Schutz für Cloud-native Anwendungen
      
      Genießen Sie Sicherheit, die positive Geschäftsergebnisse ermöglicht.
      Mehr erfahren
  - Schutz für Ihre Hybrid Cloud
    - Schützen Sie Ihre Hybrid- und Multi-Cloud-Welt
      
      Gewinnen Sie Transparenz und erfüllen Sie Geschäftsanforderungen in puncto Sicherheit.
      Mehr erfahren
  - Schutz Ihrer verteilten Belegschaft
    - Schutz Ihrer verteilten Belegschaft
      
      Ermöglichen Sie überall und auf jedem Gerät sichere Verbindungen.
      Mehr erfahren
  - Beseitigen Sie blinde Flecken im Netzwerk
    - Beseitigen Sie blinde Flecken im Netzwerk
      
      Schützen Sie Anwender und wichtige Abläufe in Ihrer gesamten Umgebung.
      Mehr erfahren
  - Mehr sehen. Schneller reagieren.
    - Mehr sehen. Schneller reagieren.
      
      Bleiben Sie der Konkurrenz einen Schritt voraus – mit leistungsstarken, speziell entwickelten XDR-Funktionen, Cyber Risk Exposure Management und Zero-Trust-Funktionen
      Mehr erfahren
  - Erweitern Sie Ihr Team
    - Erweitern Sie Ihr Team. Reagieren Sie agil auf Bedrohungen.
      
      Maximieren Sie Ihre Effektivität mit proaktiver Risikoeindämmung und Managed Services.
      Weitere Informationen
  - Operationalisierung von Zero-Trust-Funktionen –
    - Operationalisierung von Zero-Trust-Funktionen –
      
      Verstehen Sie Ihre Angriffsfläche und bewerten Sie Ihr Risiko in Echtzeit. Passen Sie Richtlinien für das gesamte Netzwerk, alle Arbeitslasten und Geräte von einer einzigen Konsole aus an.
      Mehr erfahren
- Nach Rolle
  - Nach Rolle
    - Nach Rolle
      Mehr erfahren
  - CISO
    - CISO
      
      Steigern Sie Ihren Geschäftswert durch messbare Ergebnisse zur Cybersicherheit.
      Mehr erfahren
  - SOC-Manager
    - SOC-Manager
      
      Mehr erkennen, schneller reagieren
      Mehr erfahren
  - Infrastrukturmanager
    - Infrastrukturmanager
      
      Entwickeln Sie Ihr Sicherheitskonzept weiter, um Bedrohungen schnell und effektiv zu erkennen.
      Mehr erfahren
  - Cloud-Entwickler
    - Cloud-Entwickler
      
      Stellen Sie sicher, dass Code nur erwartungsgemäß ausgeführt wird.
      Mehr erfahren
  - Cloud-SecOps
    - Cloud-SecOps
      
      Gewinnen Sie mehr Transparenz und Kontrolle mit Sicherheitslösungen, die speziell für Cloud-Umgebungen entwickelt wurden.
      Mehr erfahren
- Nach Branche
  - Nach Branche
    - Nach Branche
      Mehr erfahren
  - Gesundheitswesen
    - Gesundheitswesen
      
      Schutz von Patientendaten, Geräten und Netzwerken bei gleichzeitiger Einhaltung der Vorschriften
      Weitere Informationen
  - Automobilbranche
    - Automobilbranche
      Mehr erfahren
  - 5G-Netze
    - 5G-Netze
      Mehr erfahren
  - Öffentlicher Sektor & Gesundheitswesen
    - Öffentlicher Sektor & Gesundheitswesen
      Weitere Informationen
- Sicherheit für kleine und mittelständische Unternehmen
  - Sicherheit für kleine und mittelständische Unternehmen
    
    Stoppen Sie Bedrohungen mit benutzerfreundlichen Lösungen, die für Ihr wachsendes Unternehmen entwickelt wurden
    Weitere Informationen
- NIS2 & ISG & LSI
  - NIS2-Richtlinie
    - NIS2-Richtlinie
      Mehr erfahren
  - ISG – Informationssicherheitsgesetz
    - ISG – Informationssicherheitsgesetz
      Mehr erfahren
  - LSI - Loi sur la Sécurité de l'Information
    - LSI - Loi sur la Sécurité de l'Information
      Mehr erfahren
Plattform
- Trend Vision One Plattform
  - Trend Vision One Plattform
    - Trend Vision One
      
      Einheitliche Plattform
      
      Verbindet den Schutz vor Bedrohungen und das Management des Cyberrisikos
      Weitere Informationen
  - Companion-KI
    - Trend Vision One Companion
      
      Ihr Cybersicherheitsassistent mit generativer KI
      Weitere Informationen
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    - Cyber Risk Exposure Management
      
      Verhindern Sie Datenlecks frühzeitig.
      Mehr erfahren
  - Sicherheitsbewusstsein
    - Sicherheitsbewusstsein
      
      Realistische Phishing-Simulationen und Schulungskampagnen zur Stärkung Ihrer ersten Verteidigungslinie
      Mehr erfahren
- XDR (Extended Detection and Response)
  - XDR (Extended Detection and Response)
    
    Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
    Mehr erfahren
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      Cloud-Sicherheit – Übersicht
      
      Bauen Sie auf die bewährte Cloud-Sicherheitsplattform für Entwickler, Sicherheitsteams und Unternehmen.
      Weitere Informationen
  - Workload Security
    - Workload Security
      
      Schützen Sie Ihr Rechenzentrum, die Cloud und Container ohne Leistungseinbußen – nutzen Sie eine Cloud-Sicherheitsplattform mit CNAPP-Funktionen
      Mehr erfahren
  - Container Security
    - Container-Sicherheit
      
      Vereinfachen Sie die Sicherheit für Ihre Cloud-nativen Anwendungen durch erweitertes Container-Image-Scanning, richtlinienbasierte Zugriffssteuerung und Container-Laufzeitschutz.
      Mehr erfahren
  - File Security
    - File Security
      
      Schützen Sie Anwendungsworkflows und Cloud-Speicher vor neuen und komplexen Bedrohungen
      Mehr erfahren
  - Cyber Risk Exposure Management für die Cloud
    - Cyber Risk Exposure Management für die Cloud
      
      Erkennung von Cloud-Assets, Priorisieren von Schwachstellen, Management des Cloud-Sicherheitsstatus und Angriffsflächenmanagement – alles in einem
      Mehr erfahren
  - XDR für die Cloud
    - XDR für die Cloud
      
      Erweiterung der Transparenz auf die Cloud und Optimierung von SOC-Untersuchungen
      Weitere Informationen
- Endpunktsicherheit
  - Endpunktsicherheit
    - Endpunktsicherheit – Übersicht
      
      Schützen Sie Ihre Endpunkte in jeder Phase eines Angriffs
      Weitere Informationen
  - Workload Security
    - Workload Security
      
      Optimierte Prävention, Erkennung und Reaktion für Endpunkte, Server und Cloud-Workloads
      Weitere Informationen
  - XDR for Endpoint
    - XDR for Endpoint
      
      Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
      Weitere Informationen
- Netzwerksicherheit
  - Netzwerksicherheit
    - Network Security – Übersicht
      
      Erweitern Sie die Leistungsfähigkeit von XDR durch Network Detection and Response (NDR).
      Mehr erfahren
  - Network Intrusion Prevention (IPS)
    - Network Intrusion Prevention (IPS)
      
      Schutz vor bekannten, unbekannten und noch nicht offengelegten Sicherheitslücken in Ihrem Netzwerk
      Mehr erfahren
  - Secure Service Edge (SSE)
    - Secure Service Edge (SSE)
      
      Definieren Sie Vertrauen neu und sorgen Sie durch kontinuierliche Risikobewertungen für eine sichere digitale Transformation.
      Mehr erfahren
  - Industrial Network Security
    - Industrial Network Security
      Mehr erfahren
  - XDR für Netzwerke
    - XDR für Netzwerke
      
      Stoppen Sie Angriffe schneller. Nutzen Sie eine breitere Perspektive und besseren Kontext, um Bedrohungen auf einer einzigen Plattform zu jagen, zu entdecken, zu untersuchen und auf sie zu reagieren.
      Weitere Informationen
  - 5G-Netzwerksicherheit
    - 5G-Netzwerksicherheit
      Weitere Informationen
- Threat Intelligence
  - Threat Intelligence
    
    Erkennen Sie Bedrohungen schon von Weitem
    Weitere Informationen
- Identity Security
  - Identity Security
    
    Durchgängige Identity Security vom Identity Posture Management bis zu Detection and Reponse
    Mehr erfahren
- On-Premises Data Sovereignty
  - Lokale Datenhoheit
    
    Verhinderung, Erkennung, Reaktion und Schutz ohne Kompromisse bei der Datenhoheit
    Mehr erfahren
- End-of-Support-Plattformen und -Betriebssysteme
  - End-of-Support-Plattformen und -Betriebssysteme
    Mehr erfahren
- Alle Produkte, Services und Testversionen
  - Alle Produkte, Services und Testversionen
    Weitere Informationen
- KI-Sicherheit
  - KI-Sicherheit
    - KI bei Trend
      
      Entdecken Sie KI-Lösungen, die Ihr Unternehmen schützen, die Compliance unterstützen und verantwortungsvolle Innovationen ermöglichen.
      Mehr erfahren
  - Sicherheit für KI-Stacks
    - Sicherheit für KI-Stacks
      
      Sichern Sie Ihre KI-Journey und beseitigen Sie Schwachstellen, bevor es zu Angriffen kommt – damit Sie sich ganz auf Innovationen konzentrieren können.
      Mehr erfahren
  - KI-Ökosystem
    - KI-Ökosystem
      
      Gestaltung der Zukunft der Cybersicherheit durch KI-Innovationen, regulatorische Leadership und bewährte Standards
      Mehr erfahren
  - Proaktive KI-Sicherheit
    - Proaktive KI-Sicherheit
      
      Stärken Sie Ihre Abwehr mit der branchenweit ersten proaktiven KI für Cybersicherheit – keine blinden Flecken, keine Überraschungen.
      Proaktive KI-Sicherheit
  - Trend Cybertron
    - Trend Cybertron
      
      Die branchenweit erste proaktive KI für Cybersicherheit
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      Nutzen Sie umfassende und detaillierte Daten, hochwertige Analysen, Kuratierung und Kennzeichnung, um aussagekräftige, umsetzbare Erkenntnisse zu gewinnen.
      Mehr erfahren
- Schutz für E-Mail und Kollaboration
  - Trend Vision One™
    
    Schutz für E-Mail und Kollaboration
    
    Mit KI-gestützter E-Mail-Sicherheit sind Sie Phishing, BEC, Ransomware und Betrugsversuchen immer einen Schritt voraus. So können Sie Bedrohungen schnell, mühelos und präzise stoppen.
    Mehr erfahren
Informationen
- Informationen
  - Informationen
    - Informationen
      Mehr erfahren
  - Research, Neuigkeiten und Perspektiven
    - Research, Neuigkeiten und Perspektiven
      Mehr erfahren
  - Research und Analyse
    - Research und Analyse
      Mehr erfahren
  - IT Security Best Practices
    - IT Security Best Practices
      Mehr erfahren
  - Nachrichten zum Thema Sicherheit
    - Nachrichten zum Thema Sicherheit
      Mehr erfahren
  - Zero-Day-Initiative (ZDI)
    - Zero-Day-Initiative (ZDI)
      Mehr erfahren
Services
- Trend Micro Services
  - Trend Micro Services
    - Trend Micro Services
      
      Erweitern Sie Ihr Team mit vertrauenswürdigen Cybersicherheitsfachleuten, die rund um die Uhr verfügbar sind – für die Prognose, Vermeidung und Bewältigung von Sicherheitsvorfällen.
      Mehr erfahren
  - Servicepakete
    - Servicepakete
      
      Verstärken Sie Ihre Sicherheitsteams: Rund-um-die-Uhr-Service für Managed Detection, Response und Support.
      Mehr erfahren
  - Managed XDR
    - Managed XDR
      
      Ergänzen Sie Ihr Team mit einem von Experten gemanagten Service für Erkennung und Reaktion (Managed Detection and Response, MDR) für E-Mails, Endpunkte, Server, Cloud-Workloads und Netzwerke.
      Mehr erfahren
  - Reaktionen auf Vorfälle
    - Reaktionen auf Vorfälle
      - Reaktionen auf Vorfälle
        
        Vertrauenswürdige Fachleute helfen Ihnen jederzeit gerne, egal ob Sie von einem Sicherheitsvorfall betroffen sind oder Ihre IR-Pläne proaktiv verbessern möchten.
        Weitere Informationen
    - Versicherungsanbieter und Anwaltskanzleien
      - Versicherungsanbieter und Anwaltskanzleien
        
        Vermeiden Sie Sicherheitsverletzungen mit einer erstklassigen Lösung zur Erkennung und Reaktion und reduzieren Sie die Kosten Ihrer Kunden für Ausfallzeiten und Schadensfälle.
        Mehr erfahren
  - Support Services
    - Support Services
      Mehr erfahren
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      Cyberrisiken bewerten, verstehen und entschärfen – dank strategischer Beratung
      Mehr erfahren
Partner
- Partnerprogramm
  - Partnerprogramm
    - Partnerprogramm Übersicht
      
      Bauen Sie Ihr Business aus und schützen Sie Ihre Kunden – durch umfassende, mehrschichtige Sicherheit für höchste Ansprüche
      Weitere Informationen
  - Kompetenzen der Partner
    - Kompetenzen der Partner
      
      Heben Sie sich vom Mitbewerb ab, indem Sie Ihre Kompetenz mit entsprechenden Nachweisen belegen
      Weitere Informationen
  - Erfolge von Partnern
    - Erfolge von Partnern
      Weitere Informationen
  - Service Provider (xSP)
    - Service Provider (xSP)
      
      Über eine für MSPs, MSSPs und DFIR-Teams entwickelte, partnerorientierte Sicherheitsplattform können Sie zentral und proaktiv Sicherheitsdienste bereitstellen.
      Mehr erfahren
- Alliance Partner
  - Alliance Partner
    - Alliance Partner
      
      Trend arbeitet mit den Besten zusammen, um sie dabei zu begleiten, ihre Leistung und ihren Wert zu optimieren
      Weitere Informationen
  - Technology Alliance Partner
    - Technology Alliance Partner
      Mehr erfahren
  - Alliance Partner suchen
    - Alliance Partner suchen
      Weitere Informationen
- Partnerressourcen
  - Partnerressourcen
    - Partnerressourcen
      
      Entdecken Sie Ressourcen, die das Wachstum Ihres Geschäfts ankurbeln und Ihre Möglichkeiten als Partner von Trend Micro verbessern
      Weitere Informationen
  - Partnerportal-Anmeldung
    - Partnerportal-Anmeldung
      Anmelden
  - Trend Campus
    - Trend Campus
      
      Lernen Sie schneller mit Trend Campus, der benutzerfreundlichen Bildungsplattform, die personalisierte technische Unterstützung bietet
      Weitere Informationen
  - Co-Selling
    - Co-Selling
      
      Greifen Sie auf kollaborative Services zu, die Ihnen helfen, den Wert von Trend Vision One™ zu demonstrieren und Ihr Business auszubauen
      Weitere Informationen
  - Partner werden
    - Partner werden
      Weitere Informationen
- Partner suchen
  - Partner suchen
    
    Finden Sie einen örtlichen Partner, bei dem Sie Lösungen von Trend Micro kaufen können.
    Weitere Informationen
Unternehmen
- Warum Trend Micro?
  - Warum Trend Micro?
    - Warum Trend Micro?
      Weitere Informationen
  - C5-Testat
    - C5-Testat
      Weitere Informationen
  - Branchenauszeichnungen
    - Branchenauszeichnungen
      Mehr erfahren
  - Strategische Partnerschaften
    - Strategische Partnerschaften
      Mehr erfahren
- Trend Micro vergleichen
  - Trend Micro vergleichen
    - Trend Micro vergleichen
      
      So überflügelt Trend seine Mitbewerber
      Los geht’s
  - mit CrowdStrike
    - Trend Micro versus CrowdStrike
      
      CrowdStrike bietet mit seiner Cloud-nativen Plattform effektive Cybersicherheit. Die Preise könnten jedoch zu hoch sein, vor allem für Unternehmen, die eine kosteneffiziente Skalierbarkeit über eine einzige Plattform anstreben.
      Los geht’s
  - mit Microsoft
    - Trend Micro versus Microsoft
      
      Microsoft bietet einen grundlegenden Schutz, benötigt jedoch oft zusätzliche Lösungen, um die Sicherheitsprobleme der Kunden vollständig zu lösen.
      Los geht’s
  - mit Palo Alto Networks
    - Trend Micro versus Palo Alto Networks
      
      Palo Alto Networks bietet fortschrittliche Cybersicherheitslösungen. Die Navigation in der umfangreichen Suite kann jedoch komplex sein, und die Freischaltung aller Funktionen erfordert erhebliche Investitionen.
      Los geht’s
  - versus. SentinelOne
    - Trend Micro versus SentinelOne
      Los geht’s
- Info
  - Info
    - Info
      Mehr erfahren
  - Impressum
    - Impressum
      Mehr erfahren
  - Trust Center
    - Trust Center
      Mehr erfahren
  - Geschichte
    - Geschichte
      Mehr erfahren
  - Diversität, Fairness und Inklusion
    - Diversität, Fairness und Inklusion
      Mehr erfahren
  - Soziale Unternehmensverantwortung
    - Soziale Unternehmensverantwortung
      Mehr erfahren
  - Management
    - Management
      Mehr erfahren
  - Sicherheitsexperten
    - Sicherheitsexperten
      Mehr erfahren
  - Weiterbildungsangebote in den Bereichen Internetsicherheit und Cybersicherheit
    - Weiterbildungsangebote in den Bereichen Internetsicherheit und Cybersicherheit
      Mehr erfahren
  - Rechtliche Hinweise
    - Rechtliche Hinweise
      Mehr erfahren
  - Formel-E-Rennen
    - Formel-E-Rennen
      Weitere Informationen
- Kontakt aufnehmen
  - Kontakt aufnehmen
    - Kontakt aufnehmen
      Mehr erfahren
  - Newsroom
    - Newsroom
      Mehr erfahren
  - Veranstaltungen
    - Veranstaltungen
      Mehr erfahren
  - Karriere
    - Karriere
      Mehr erfahren
  - Webinare
    - Webinare
      Mehr erfahren
- Kundenreferenzen
  - Kundenreferenzen
    - Kundenreferenzen
      
      Lesen Sie in realen Fallbeispielen nach, wie Kunden weltweit Trend nutzen, um Bedrohungen vorherzusagen, zu verhindern, zu erkennen und darauf zu reagieren.
      Mehr erfahren
  - Geschäftliche Auswirkungen von ESG
    - Geschäftliche Auswirkungen von ESG
      
      Lesen Sie nach, wie Cyberresilienz zu messbaren Ergebnissen, einer intelligenteren Abwehr und nachhaltiger Leistung geführt hat.
      Mehr erfahren
  - Persönliche Kontakte
    - Persönliche Kontakte
      
      Lernen Sie die Menschen hinter dem Schutz kennen – das Team, die Kunden und das verbesserte digitale Wohlbefinden.
      Mehr erfahren
  - Stimmen von Trend-Kunden
    - Stimmen von Trend-Kunden
      
      Erfahren Sie aus erster Hand, was Anwender sagen. Ihre Erkenntnisse fließen in Lösungen ein und sorgen für kontinuierliche Verbesserungen.
      Mehr erfahren

Sie suchen nach Lösungen für zu Hause?

Sie werden angegriffen?

Support

Ressourcen

Anmelden

arrow_back

search close

Was ist Threat Hunting?

Trend Micro staff

- Last updated 2025/08/20

Threat Hunting ist der proaktive Prozess der Suche nach Bedrohungen, die bestehende Sicherheitstools umgehen. Es beinhaltet die Analyse von Daten, die Entwicklung von Hypothesen und die manuelle Untersuchung von Mustern, um verdächtige oder bösartige Aktivitäten zu identifizieren, bevor sie Schaden anrichten.

Schützen Sie sich mit Vision One

Inhaltsverzeichnis

keyboard_arrow_down

Warum Threat Hunting in der Cybersicherheit wichtig ist

Angreifer werden immer besser darin, Erkennungssysteme zu umgehen. Sie verwenden Techniken wie Fileless Malware, Remote-Access-Tools und Missbrauch von Anmeldeinformationen, um sich in legitime Aktivitäten einzufügen. Diese Methoden umgehen oft traditionelle Sicherheitssysteme.

Sich nur auf Alarme zu verlassen, kann Lücken hinterlassen. Threat Hunting schließt diese Lücken, indem es Bedrohungen frühzeitig identifiziert, oft bevor eindeutige Indikatoren auftauchen. Im Gegensatz zu reaktiven Methoden, die auf Alarme angewiesen sind, konzentriert sich Threat Hunting auf unauffällige, persistente Techniken, die möglicherweise keine automatisierten Verteidigungen auslösen.

Infolgedessen reduziert Threat Hunting die Verweildauer, begrenzt den Schaden und hilft Organisationen, schneller zu reagieren. Dies spiegelt sich darin wider, dass laut der SANs Threat Hunting Umfrage die Anzahl der Organisationen, die formelle Threat Hunting-Methoden anwenden, im Jahr 2024 auf 64% gestiegen ist.

Threat Hunting vs. Incident Response

Threat Hunting und Incident Response haben unterschiedliche Zwecke:

Threat Hunting ist proaktiv. Es beinhaltet das aktive Suchen nach Anzeichen eines möglichen Kompromisses basierend auf Annahmen oder schwachen Signalen.
Incident Response ist reaktiv. Es beginnt nach der Erkennung eines Sicherheitsvorfalls und konzentriert sich auf Eindämmung, Untersuchung und Wiederherstellung.

Die beiden können zusammenarbeiten, folgen jedoch unterschiedlichen Zeitplänen. Hunting kann beispielsweise Vorfälle aufdecken, bevor sie Alarme auslösen, was eine frühere Intervention ermöglicht. Wenn ein Problem auftritt, das beim Threat Hunting übersehen wurde, greift das Incident Response Framework nach dem Vorfall ein.

Threat Hunting vs. Threat Intelligence

Threat Intelligence bietet Kontext für die Sicherheit. Es enthält Daten über bekannte Bedrohungen wie Ransomware oder Malware-Strains.

Threat Hunting hingegen wendet diese Informationen auf Live-Umgebungen an. Es sucht nach Anzeichen dafür, dass ähnliche Verhaltensweisen innerhalb einer Organisation stattfinden.

Obwohl getrennt, verstärken sich die beiden Disziplinen gegenseitig. Reife SOC-Teams nutzen Threat Intelligence, um Hunts zu leiten, und im Gegenzug kann Threat Hunting neue Bedrohungen identifizieren, die in Intelligence-Plattformen zurückgeführt werden.

Die Kernmethodik des Threat Hunting

Threat Hunting folgt in der Regel einem strukturierten Ansatz.

Hypothesengetriebenes Hunting

Hunter beginnen mit einer Frage. Zum Beispiel: "Gibt es Hinweise auf unautorisierte laterale Bewegungen in unseren Finanzsystemen?"

Diese Hypothesen basieren auf Threat Intelligence, früheren Vorfällen oder ungewöhnlichen Aktivitätsmustern. Das Ziel ist es, sie mit Beweisen zu testen und entweder zu bestätigen oder zu widerlegen.

Indikatoren eines Angriffs vs. Indikatoren eines Kompromisses

Indikatoren eines Kompromisses (IOCs) sind Artefakte aus bekannten Sicherheitsvorfällen: Dateihashes, IPs oder Domainnamen.
Indikatoren eines Angriffs (IOAs) konzentrieren sich auf Verhaltensweisen: verdächtige Skripte, Missbrauch von Konten oder Eskalation von Berechtigungen.

IOAs sind oft nützlicher beim Threat Hunting, da sie Techniken erfassen und nicht nur bekannte Tools.

Datenquellen für das Threat Hunting

Effektives Threat Hunting hängt von der Sichtbarkeit ab. Wichtige Datenquellen umfassen:

Endpoint-Telemetrie (Prozesse, Speichernutzung, Befehlszeilenaktivität)
Netzwerkverkehr und DNS-Protokolle
Identitäts- und Zugriffsprotokolle
Cloud-Audit-Trails

Plattformen wie Trend Micro Vision One bieten integrierte Ansichten über diese Ebenen hinweg.

Techniken und Werkzeuge des Threat Hunting

Techniken des Threat Hunting

TTP-Analyse: Untersuchung bekannter Angreiferverhalten basierend auf dem MITRE ATT&CK Framework
Ausreißererkennung: Erkennung von Verhalten, das von normalen Baselines abweicht
Zeitbasierte Korrelation: Untersuchung von Ereignissequenzen über verschiedene Systeme hinweg
Domänenexpertise: Anwendung von Wissen über Geschäftsabläufe zur Interpretation von Aktivitäten

Werkzeuge des Threat Hunting

SIEMs: Zentralisieren Protokolle und ermöglichen grundlegende Abfragen
XDR-Plattformen: Korrelation von Telemetrie aus mehreren Quellen zur Aufdeckung verdächtiger Muster
Threat Intelligence Plattformen: Einbindung externer Kontexte in die Suche
Skriptwerkzeuge: YARA und Sigma helfen bei der Definition benutzerdefinierter Erkennungslogik

Trend Micro Vision One unterstützt Threat Hunting durch automatisierte Korrelation, vorgefertigte Abfragen und MITRE-Mapping. Es reduziert das Rauschen und hilft Analysten, sich auf hochvertrauenswürdige Funde zu konzentrieren.

Beispiele und Fallstudien aus der Praxis des Threat Hunting

Missbrauch von Anmeldeinformationen in Microsoft 365

Ein globales Logistikunternehmen bemerkte ungewöhnliche Anmeldeaktivitäten in Microsoft 365. Threat Hunter nutzten standortbasierte Filterung und Audit-Protokolle, um auf ein kompromittiertes Partnerkonto zurückzuverfolgen. Das Konto wurde verwendet, um intern Phishing-E-Mails zu versenden.

Living-Off-the-Land-Techniken in Unternehmensumgebungen

In einem kürzlich durchgeführten Threat-Hunting-Forschungsfall von Trend Micro untersuchten Threat Hunter persistente Befehlszeilenaktivitäten auf mehreren Endpunkten mit hohen Berechtigungen. Die Analyse ergab den Missbrauch legitimer Tools wie PowerShell und WMI zur Einrichtung von Hintertüren ohne Dateiabwurf.

Diese Technik, bekannt als "Living off the land", zielt darauf ab, von Sicherheitssoftware nicht erkannt zu werden. Sie bleibt eine der häufigsten Herausforderungen bei der Bedrohungserkennung in Unternehmen.

Kompromittierung der Lieferkette

Ein Kunde von Trend Micro Vision One identifizierte anomale DNS-Anfragen, die mit einem vertrauenswürdigen Drittanbieter verbunden waren. Eine tiefere Untersuchung zeigte, dass die Umgebung des Anbieters kompromittiert wurde und für laterale Bewegungen genutzt wurde.

Aufbau eines Threat Hunting Frameworks

Ein wiederholbares Threat Hunting-Programm umfasst definierte Rollen, konsistente Workflows und Ergebnisverfolgung.

Schlüsselkomponenten:

Teamrollen: Cyber-Hunter, SOC-Analyst, Threat-Intelligence-Leiter
Prozessstufen: Hypothese, Datenüberprüfung, Untersuchung, Analyse, Berichterstattung
Frameworks: MITRE ATT&CK und NIST unterstützen eine strukturierte Abdeckung

Idealerweise kombiniert ein proaktives Cybersicherheits-Framework Telemetrie, Threat Intelligence und Automatisierung, um Untersuchungen über Umgebungen hinweg zu skalieren.

Wie man mit Cyber Threat Hunting beginnt

Beim Einstieg sollte man sich zunächst auf die Sichtbarkeit konzentrieren:

Prioritätsressourcen identifizieren (z.B. Finanzen, Führung, kritische Infrastruktur)
Sicherstellen, dass Logging über Endpunkte, Identitäten und Cloud aktiviert ist
Mit einer Hypothese pro Woche beginnen
ATT&CK zur Anleitung technikbasierter Suchen verwenden
Ergebnisse aufzeichnen und Abfragen im Laufe der Zeit verfeinern

Trend Micros proaktive Threat Hunting-Software

Trend Micro Vision One bietet fortschrittliche Funktionen für das Threat Hunting:

Cross-Layer-Telemetrie von Endpunkten, E-Mail, Cloud und Netzwerk
Automatische Zuordnung zu MITRE-Techniken
Risikobasierte Bewertung zur Priorisierung von Bedrohungen
Integrierte Threat Intelligence für Kontext
Such- und Pivot-Tools für proaktive Untersuchungen

Es unterstützt Sicherheitsteams bei der Erkennung unauffälliger Angriffe, Reduzierung der Verweildauer und Aufdeckung von Bedrohungen, bevor sie eskalieren.

Schützen Sie sich mit Vision One

FAQs

Expand all Hide all

Was ist Threat Hunting in der Cybersicherheit?

add

Threat Hunting ist der proaktive Prozess der Suche nach Bedrohungen, die automatisierte Sicherheitstools umgehen, durch manuelle Untersuchung und Hypothesentests.

Wie unterscheidet sich Threat Hunting von Incident Response?

add

Threat Hunting ist proaktiv und findet statt, bevor ein Vorfall bestätigt wird; Incident Response ist reaktiv und beginnt nach der Erkennung.

Wie unterscheidet sich Threat Hunting von Threat Intelligence?

add

Threat Intelligence liefert bekannte Bedrohungsdaten; Threat Hunting wendet diese Intelligenz an, um verdächtige Aktivitäten in Live-Umgebungen zu identifizieren.

Was ist eine Hypothese im Threat Hunting?

add

Eine Hypothese ist eine fundierte Annahme, die die Untersuchung leitet, wie z.B. die Erkennung lateraler Bewegungen in einem bestimmten Netzwerksegment.

Was sind Indikatoren eines Angriffs (IOAs) vs. Indikatoren eines Kompromisses (IOCs)?

add

IOAs konzentrieren sich auf Verhaltensweisen und Taktiken; IOCs sind forensische Beweise vergangener Angriffe wie Dateihashes oder IP-Adressen.

Welche Werkzeuge werden beim Threat Hunting verwendet?

add

Zu den Werkzeugen gehören SIEMs, XDR-Plattformen, Threat-Intelligence-Feeds und Skriptwerkzeuge wie YARA oder Sigma.

Welche Datenquellen unterstützen effektives Threat Hunting?

add

Nützliche Daten umfassen Endpoint-Telemetrie, Netzwerkprotokolle, Identitätsaufzeichnungen und Cloud-Audit-Trails.

Können Sie Beispiele aus der Praxis des Threat Hunting nennen?

add

Beispiele umfassen die Erkennung kompromittierter Microsoft 365-Konten, den Missbrauch von PowerShell zur Persistenz und lieferantenbezogene Angriffe auf die Lieferkette.

Wie können Organisationen ein Threat Hunting-Framework aufbauen?

add

Rollen festlegen, wiederholbare Workflows definieren und sich an Frameworks wie MITRE ATT&CK und NIST orientieren.

Welche Rolle spielt Trend Micro Vision One beim Threat Hunting?

add

Es bietet Cross-Layer-Telemetrie, automatisierte Erkennung, MITRE-Mapping und kontextreiche Untersuchungen zur Unterstützung von Threat Huntern.

Was ist Threat Hunting?

Warum Threat Hunting in der Cybersicherheit wichtig ist

Threat Hunting vs. Incident Response

Threat Hunting vs. Threat Intelligence