Moderne Sicherheitsteams können sich nicht allein auf Warnmeldungen verlassen. Angreifer halten sich tagelang oder wochenlang in Umgebungen auf, bevor Erkennungswerkzeuge ihre Aktivitäten aufdecken – und die raffiniertesten Bedrohungen sind gezielt darauf ausgelegt, automatisierte Regeln nicht auszulösen. Eine strukturierte threat hunting schließt diese Lücke: Sie vollzieht den Übergang von reaktiven Warnmeldungen zu proaktiven Untersuchungen, geht von der Annahme aus, dass möglicherweise bereits etwas nicht stimmt, und sucht systematisch nach Beweisen.
Dieser Leitfaden erläutert, was threat hunting ist, wie führende Sicherheitsteams ihre Hunting-Programme strukturieren und wie diese Rahmenkonzepte mithilfe der Vectra AI in hybriden Umgebungen umgesetzt werden können, die Netzwerk-, Identitäts-, cloud und SaaS-Infrastrukturen umfassen.
Es richtet sich an SOC-Analysten, Detektionsingenieure und Sicherheitsarchitekten, threat hunting eine proaktive threat hunting aufbauen oder weiterentwickeln.
Was ist eine threat hunting ?
threat hunting ist ein strukturierter Ansatz zur proaktiven Suche nach Bedrohungen, die noch keine automatisierten Warnmeldungen ausgelöst haben. Anstatt darauf zu warten, dass eine Erkennungsregel ausgelöst wird, gehen die Bedrohungsjäger von der Annahme aus, dass bereits etwas nicht in Ordnung sein könnte, und suchen nach Anzeichen im Verhalten. Sie kombinieren Bedrohungsinformationen, Kenntnisse über die Taktiken von Angreifern und ihre Vertrautheit mit der eigenen Umgebung, um Aktivitäten aufzudecken, die nicht den erwarteten Mustern entsprechen.
Eine umfassende threat hunting definiert drei Dinge: wonach gesucht werden soll (die Hypothese), wie danach gesucht werden soll (die Technik) und was zu tun ist, wenn etwas gefunden wird (der Reaktionsablauf).
Die drei am häufigsten verwendeten threat hunting sind:
| Methodik |
Worauf es abzielt |
Am besten geeignet für |
| TTP-basierte Jagd |
Angreiferverhalten und -techniken, zugeordnet zu Frameworks wie MITRE ATT&CK |
Erkennung komplexer Bedrohungen, die signaturbasierte Tools umgehen |
| Compliance-basierte Suche |
Verstöße gegen Richtlinien, unsichere Konfigurationen und Überschreitungen gesetzlicher Grenzen |
Fehlerhafte Konfigurationen und Lücken bei der Durchsetzung aufdecken, bevor sie zu Vorfällen führen |
| IOC-basierte Jagd |
Bekannte Artefakte von Angreifern – Domains, IP-Adressen, Datei-Hashes und Tokens |
Überprüfung der Betroffenheit nach einer Warnmeldung der Threat Intelligence oder der Bekanntgabe eines Sicherheitsvorfalls |
Threat hunting
threat hunting bildet die strukturelle Grundlage, die als Leitfaden für die Planung, Durchführung und Wiederholung von Suchvorgängen dient. Die am häufigsten verwendeten Frameworks stützen sich auf MITRE ATT&CK Taxonomie für Angreifertechniken und gliedern Suchvorgänge nach Taktik (was der Angreifer zu erreichen versucht) und Technik (wie er dies erreicht).
Die Kernkomponenten eines operativen threat hunting sind:
- Hypothesenbildung – definieren Sie, nach welchem Angreiferverhalten Sie suchen und warum dies in Ihrer Umgebung von Bedeutung ist
- Identifizierung der Datenquelle – Ermitteln Sie, welche Telemetrie-Datenströme das von Ihnen benötigte Signal enthalten (Netzwerk-Metadaten, Identitätsprotokolle, cloud , endpoint )
- Abfrageausführung – Führen Sie strukturierte Suchvorgänge in historischen Daten durch, um Übereinstimmungen zu finden
- Weiterverfolgung und Untersuchung – Wenn eine Übereinstimmung gefunden wird, verfolgen Sie die betroffene Entität weiter, um den Umfang und den zeitlichen Ablauf zu ermitteln
- Integration von Reaktionsmaßnahmen – Rückmeldung bestätigter Erkenntnisse in Erkennungsregeln, Playbooks oder Workflows zur Incident-Response
- Dokumentation und Wiederholbarkeit – Speichern Sie effektive Abfragen, dokumentieren Sie Ergebnisse und planen Sie wiederkehrende Suchvorgänge
Ohne einen standardisierten Rahmen threat hunting eine Ad-hoc-Maßnahme und liefert uneinheitliche Ergebnisse. Mit einem solchen Rahmen wird sie zu einem messbaren Programm, das die Erfassungsreichweite kontinuierlich verbessert.
Threat hunting Verfahren für Threat hunting
Die folgenden Best Practices stammen aus ausgereiften SOC-Programmen und spiegeln wider, was leistungsstarke Hunting-Teams von solchen unterscheidet, die Schwierigkeiten haben, diese Vorgehensweise in die Praxis umzusetzen.
Beginnen Sie mit Hypothesen, deren Richtigkeit Sie sicher sind. Die erfolgreichsten Untersuchungen basieren auf konkreten Angriffstechniken – nicht auf allgemeinen Suchanfragen. Nutzen Sie Bedrohungsinformationen, aktuelle Vorfallberichte und MITRE ATT&CK die für Ihre Branche und Infrastruktur relevanten Techniken zu identifizieren, bevor Sie auch nur eine einzige Abfrage erstellen.
Legen Sie den Schwerpunkt auf Netzwerk-Metadaten. Netzwerk-Metadaten zeigen, wie Systeme miteinander kommunizieren – und nicht nur, dass sie dies getan haben. Endpoint beschreiben isolierte Ereignisse auf einem einzelnen Rechner. Netzwerkdaten geben Aufschluss darüber, wie Aktivitäten innerhalb der gesamten Umgebung miteinander verknüpft sind. Teams, die sich bei der Suche vorrangig auf endpoint stützen, übersehen eine bedeutende Kategorie von Signalen für laterale Bewegungen, Command-and-Control-Aktivitäten und Datenexfiltration.
Durchsuchen Sie alle drei Arten von Methoden. TTP-basierte, Compliance-basierte und IOC-basierte Suchvorgänge decken jeweils unterschiedliche Bedrohungskategorien auf. Ein Programm, das nur eine dieser Methoden einsetzt, übersieht regelmäßig genau das, was die beiden anderen aufspüren sollen.
Erstellen Sie wiederverwendbare Abfragebibliotheken. Speichern Sie effektive Abfragen. Dokumentieren Sie, wonach jede Abfrage sucht, was sie in der Vergangenheit gefunden hat und unter welchen Bedingungen sie zu Fehlalarmen führt. Eine wachsende Abfragebibliothek ist ein direktes Maß für die Ausgereiftheit des Programms.
Ergebnisse in die Erkennungstechnik integrieren. Jeder bestätigte threat hunting , der nicht in eine Erkennungsregel umgesetzt wird, ist eine verpasste Gelegenheit zur Absicherung. Der Kreislauf zwischen Bedrohungssuche und Optimierung der Erkennung sorgt dafür, dass sich Programme im Laufe der Zeit selbst verbessern.
Legen Sie zunächst Verhaltens-Baselines fest, bevor Sie nach Anomalien suchen. Sie können nicht zuverlässig erkennen, was abnormal ist, ohne zuvor zu verstehen, wie Normalität aussieht. Investieren Sie Zeit in die Dokumentation der Baselines, bevor Sie erwarten, dass die Suche nach Anomalien zuverlässige Ergebnisse liefert.
Zeitlich begrenzte Suchvorgänge. Strukturierte, zeitlich begrenzte Suchvorgänge mit klaren Zielen sind effektiver als unbefristete Untersuchungen. Die meisten erfahrenen Suchenden arbeiten in strukturierten Einheiten von 5 bis 30 Minuten und sortieren die Ergebnisse anschließend, bevor sie entscheiden, ob sie die Angelegenheit eskalieren oder einen anderen Ansatz wählen.
Threat hunting mit der Vectra AI
Die Vectra AI wurde speziell für die Untersuchung und Aufspürung komplexer Bedrohungen in großem Maßstab entwickelt. Analysten können KI-gestützte Metadaten durchsuchen, um das Verhalten von Angreifern aufzudecken, Aktivitäten über einen längeren Zeitraum hinweg nachzuverfolgen und Signale über Identitäts-, cloud und Netzwerkschichten hinweg zu korrelieren – und das alles über eine einzige Benutzeroberfläche.
Abdeckungsbereiche und Metadatenströme
| Anwendungsbereich |
Metadatenströme |
| Netzwerk |
iSession, DNS, HTTP, SSL, X.509, SMB, RDP, RADIUS, NTLM, LDAP, DHCP, SSH, DCE/RPC, Kerberos, AI-Beacon |
| Entra ID |
Anmeldungen mit Entra ID, Aktivitäten mit Entra ID |
| Microsoft 365 |
M365 und Copilot, Exchange, SharePoint |
| Azure-Steuerungsebene |
Aktivitäten der Azure-Steuerungsebene |
| AWS-Steuerungsebene |
Aktivitäten der AWS-Steuerungsebene |
Suchmodi in der Vectra AI
| Jagdtechnik |
Worauf es abzielt |
Wann sollte man es verwenden? |
| TTP-basierte Jagd |
Angreiferverhalten und -verfahren, zugeordnet nach MITRE ATT&CK Diebstahl von Anmeldedaten, Missbrauch der Authentifizierung, laterale Bewegung, Umgehung |
Proaktiv, kontinuierlich – Erkennung komplexer Bedrohungen, die signaturbasierte Tools umgehen |
| Compliance-basierte Suche |
Verstöße gegen Richtlinien, veraltete Protokolle, unsichere Konfigurationen und nicht genehmigte Dienste |
Regelmäßige Kontrollen und Vorabprüfungen – Aufdeckung von Lücken in der Durchsetzung, bevor sie zu Vorfällen führen |
| IOC-basierte Jagd |
Bekannte Artefakte von Angreifern – bösartige Domains, IP-Adressen, Datei-Hashes und Authentifizierungstoken |
Nach der Warnmeldung und nach dem Vorfall – Überprüfung, ob ein bekannter Indikator in Ihrer Umgebung vorhanden war |
TTP-basierte threat hunting
Bei der TTP-basierten Erkennung liegt der Schwerpunkt auf der Identifizierung des Verhaltens von Angreifern, anstatt sich auf statische Indikatoren zu verlassen. Indem sie sich auf bestimmte Taktiken, Techniken und Vorgehensweisen konzentrieren, die bei realen Angriffen zum Einsatz kommen, können Sicherheitsteams Bedrohungen erkennen, die signaturbasierten Tools oft entgehen.
Was sollen TTP-basierte Suchvorgänge aufdecken:
- Eine Kompromittierung in einem frühen Stadium, bevor die laterale Bewegung beginnt
- Methoden zum Diebstahl von Anmeldedaten, die auf Active Directory und cloud abzielen
- Muster für den Missbrauch der Authentifizierung bei Domänencontrollern und Identitätsanbietern
- Anomalien beim Zugriff auf Cloud , die auf die Vorbereitung eines Datenabflusses hindeuten
- Umgehungstechniken unter Verwendung legitimer Systemtools (Living-off-the-Land)
Die folgenden neun auf TTP basierenden Erkennungsregeln sind bekannten Angreifertechniken zugeordnet und können direkt in der Vectra AI ausgeführt werden.
TTP-basierte threat hunting
Bei der TTP-basierten Erkennung liegt der Schwerpunkt auf der Identifizierung des Verhaltens von Angreifern, anstatt sich auf statische Indikatoren zu verlassen. Indem sie sich auf bestimmte Taktiken, Techniken und Vorgehensweisen konzentrieren, die bei realen Angriffen zum Einsatz kommen, können Sicherheitsteams Bedrohungen erkennen, die signaturbasierten Tools oft entgehen.
Was sollen TTP-basierte Suchvorgänge aufdecken:
- Eine Kompromittierung in einem frühen Stadium, bevor die laterale Bewegung beginnt
- Methoden zum Diebstahl von Anmeldedaten, die auf Active Directory und cloud abzielen
- Muster für den Missbrauch der Authentifizierung bei Domänencontrollern und Identitätsanbietern
- Anomalien beim Zugriff auf Cloud , die auf die Vorbereitung eines Datenabflusses hindeuten
- Umgehungstechniken unter Verwendung legitimer Systemtools (Living-off-the-Land)
Die folgenden neun auf TTP basierenden Erkennungsregeln sind bekannten Angreifertechniken zugeordnet und können direkt in der Vectra AI ausgeführt werden.
1. Abruf des DPAPI-Sicherungsschlüssels
Was diese Abfrage findet:
- Versuche, DPAPI-Sicherungsschlüssel von Domänencontrollern abzurufen
- Verdächtige Zugriffsmuster auf Ressourcen des Domänencontrollers
- Ungewöhnliche Verwaltungsabfragen an Active Directory
- Verwendung bekannter Techniken zur DPAPI-Schlüsselextraktion (Mimikatz, SharpDPAPI, DSInternals)
Logik der Jagd: Überprüft die DCE/RPC-Protokolle des Netzwerks der letzten 14 Tage auf Ereignisse, bei denen ein System über den endpoint eine Verbindung zu einem Domänencontroller herstellt endpoint führt die lsarretrieveprivatedata Betrieb.
Sicherheitsauswirkungen: Durch den Diebstahl eines DPAPI-Sicherungsschlüssels kann ein Angreifer:
- Entschlüsseln Sie alle gespeicherten Passwörter und Anmeldedaten im gesamten Netzwerk
- Berechtigungen domänenweit erweitern
- Erfassen Sie sensible Daten in großem Umfang
- Langfristige, beständige Kontrolle gewährleisten\
SELECT
Zeitstempel,
orig_hostname,
id.orig_h AS "id_orig_h",
id.resp_h AS "id_resp_h",
resp_hostname,
domain,
Benutzername,
endpoint,
Hostname,
operation,
sensor_uid
FROM
network.dce_rpc
WHERE
id.orig_h = '10.254.50.142'
UND LOWER(endpoint) = 'lsarpc'
UND LOWER(operation) = 'lsarretrieveprivatedata'
UND timestamp > date_add('day', -14, now())
SORTIEREN NACH
timestamp DESC
LIMIT 100
2. Verwendung des Programms „certutil“
Was diese Abfrage findet:
certutil.exe wird zum Herunterladen von Dateien von externen Websites verwendet- Base64-kodierte Inhalte, die über certutil dekodiert werden
- Große Mengen an HTTP-Anfragen von der
Microsoft-CryptoAPI/10.0 User-Agent - Verdächtige Download-Muster, gruppiert nach Zielhost
Logik der Jagd: Durchsucht den HTTP-Datenverkehr der letzten 14 Tage nach Anfragen mit dem User-Agent Microsoft-CryptoAPI/10.0, die entsteht, wenn certutil Dateien aus externen Quellen herunterlädt.
Sicherheitsauswirkungen: Durch den Missbrauch von Certutil können Angreifer:
- malware verbreiten, malware sie als normale Systemaktivität erscheint
- Daten über eine vertrauenswürdige Windows-Binärdatei aus dem System herausschleusen
- Verschleierte Skripte ausführen, die die Standarderkennung umgehen
- Sich festsetzen oder sich seitwärts bewegen, bevor man entdeckt wird
SELECT Host, COUNT(*) AS Anfrageanzahl
FROM network.http
WHERE user_agent = 'Microsoft-CryptoAPI/10.0' UND Zeitstempel > date_add('day', -14, now())
GROUP BY host
ORDER BY Anfrageanzahl DESC
LIMIT 50
3. Domänencontroller, der die NTLM-Authentifizierung initiiert
Was diese Abfrage findet:
- Domänencontroller, die ausgehende NTLM-Authentifizierungsanfragen initiieren (auffälliges Verhalten)
- Quell-IP-Adressen, die mit bekannten Bereichen von Domänencontrollern übereinstimmen und eine Authentifizierung bei anderen Systemen initiieren
Suchlogik: Durchsucht den NTLM-Datenverkehr der letzten 14 Tage nach Anfragen, deren Quell-IP-Adressen Domänencontroller sind.
Sicherheitsauswirkung: Ein Domänencontroller, der eine ausgehende NTLM-Authentifizierung initiiert, ist ein deutlicher Hinweis auf:
- NTLM-Relay-Angriffe
- Erzwungene Authentifizierung (PetitPotam, PrinterBug)
- Seitliche Bewegung von einem kompromittierten DC
- Mögliche Kompromittierung der gesamten Domain
SELECT id.orig_h, orig_hostname.name AS hostname, COUNT(*) AS ntlm_request_count
FROM network.ntlm
WHERE (LOWER(orig_hostname.name) LIKE '%dc%' ODER TRY_CAST(id.orig_h AS
IPADDRESS) BETWEEN IPADDRESS '10.254.100.0' UND IP-Adresse '10.254.100.255')
UND Zeitstempel > date_add('day', -14, now())
GROUP BY id.orig_h, orig_hostname.name
ORDER BY ntlm_request_count DESC
LIMIT 100
4. Erzwungene Authentifizierungen
Was diese Abfrage findet:
| Technik |
Protokoll |
Zielgruppe: Opnums |
| PetitPotam |
MS-EFSR |
0, 4, 5, 6, 7, 12, 13, 15 |
| PrinterBug |
MS-RPRN |
65 (0x41) |
| ShadowCoerce |
MS-FSRVP |
8, 9 (0x08, 0x09) |
| DFSCoerce |
MS-DFSNM |
12, 13 (0x0c, 0x0d) |
Prüflogik: Untersucht die Metadaten des RPC-Datenverkehrs, um Aufrufe an anfällige Windows-Protokolle zu identifizieren, bei denen bestimmte Operationsnummern verwendet werden, die bekannten Manipulationstechniken entsprechen.
Sicherheitsauswirkungen: Eine erfolgreiche erzwungene Authentifizierung ermöglicht es Angreifern,
- NTLM-Relay-Angriffe ohne Benutzereingriff durchführen
- Zugangsdaten für Maschinenkonten mit Berechtigungen auf Domänenebene stehlen
- DCSync-Angriffe ausführen und Golden Tickets erstellen
- Die vollständige Kontrolle über die Domain erlangen
SELECT Zeitstempel, orig_hostname, id.orig_h, id.resp_h, resp_hostname, domain,
Benutzername, endpoint, Hostname, Operation, Sensor-ID
FROM network.dce_rpc
WHERE (
(endpoint = 'unknown-c681d488-d850-11d0-8c52-00c04fd90f7e' UND Operation
IN ('unknown-0', 'unknown-4', 'unknown-5', 'unknown-6', 'unknown-7', „unknown-12“,
„unknown-13“, „unknown-15“)) ODER
(endpoint = 'spoolss' UND Operation IN
('RpcRemoteFindFirstPrinterChangeNotificationEx')) ODER
(endpoint = 'unknown-a8e0653c-2744-4389-a61d-7373df8b2292' UND Operation
IN ('unknown-8', 'unknown-9')) ODER
(endpoint = 'netdfs' UND Operation IN ('NetrDfsAddStdRoot', 'NetrDfsRemoveStdRoot'))
) UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
5. Ausgehender SSH-Verkehr über einen nicht standardmäßigen Port
Was diese Abfrage findet:
- Ausgehende SSH-Verbindungen auf anderen Ports als Port 22
- Verbindungen zu externen Zielen über das SSH-Protokoll auf den Ports 2222, 443, 8080 oder anderen nicht standardmäßigen Ports
- Systeme, die SSH-Verbindungen zu Zielen herstellen, bei denen kein SSH-Zugriff erwartet wird
Suchlogik: Überprüft die iSession-Metadaten, um ausgehende TCP-Verbindungen mit dem SSH-Protokoll zu identifizieren, die über andere Ports als Port 22 laufen.
Sicherheitsauswirkungen: Ausgehender SSH-Verkehr über nicht standardmäßige Ports ist verbunden mit:
- Versteckte Befehls- und Kontrollkanäle
- Datenabflusskanäle, die Firewall-Regeln umgehen
- Unbefugter Fernzugriff, der als legitimer Web-Traffic getarnt ist
- Seitliche Bewegung über SSH-Tunneling
SELECT Zeitstempel, uid, id.orig_h, orig_hostname, id.resp_h, resp_hostname,
id.resp_p, proto_name, orig_ip_bytes, resp_ip_bytes, duration, conn_state, sensor_uid, service
FROM network.isession
WHERE LOWER(service) = 'ssh' UND id.resp_p != 22 UND local_resp != true UND
Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
6. Anmeldungen aus mehreren Ländern (Indikator für unmögliche Reisen)
Was diese Abfrage findet:
- Benutzer, die sich innerhalb eines Zeitraums von 24 Stunden aus mehr als einem Land angemeldet haben
- Nur Check-ins mit bestätigten Standortdaten (Einträge ohne Standortdaten werden ausgeschlossen)
Abfrage-Logik: Fasst alle erfolgreichen Anmeldungen eines Nutzers in den letzten 24 Stunden zusammen, zählt die Anzahl der verschiedenen Länder pro Nutzer und ermittelt Nutzer, die in mehr als einem Land auftauchen.
Sicherheitsimplikation: Anmeldungen aus mehreren Ländern innerhalb von 24 Stunden deuten auf eine wahrscheinliche Kompromittierung der Anmeldedaten hin – schnelle internationale Reisen sind für die meisten Nutzer physisch unmöglich. Dieses Muster ist charakteristisch für „Credential Stuffing“- und Kontoübernahme-Kampagnen, die auf Unternehmensidentitäten abzielen.
SELECT DISTINCT(vectra.identity_principal), COUNT(DISTINCT location.country_or_region) AS CountryCount,
MIN(Zeitstempel) AS FirstLogin, MAX(Zeitstempel) AS LastLogin
FROM entra.signins._all
WHERE location.country_or_region IST NICHT NULL
UND Zeitstempel > date_add('day', -1, now())
GROUP BY vectra.identity_principal
WÄHREND COUNT(DISTINCT location.country_or_region) > 1
ORDER BY Anzahl_Länder
LIMIT 100
7. Fehlgeschlagene Anmeldeversuche nach IP-Adresse
Was diese Abfrage findet:
- IP-Adressen mit 20 oder mehr fehlgeschlagenen Authentifizierungsversuchen innerhalb von 6 Stunden
- Gesamtzahl der Fehler und Anzahl der einzelnen Nutzer pro IP-Adresse
- Zeitstempel des ersten und letzten Ausfalls pro IP-Adresse
Suchlogik: Erfasst fehlgeschlagene Anmeldeversuche nach IP-Adresse in den letzten 6 Stunden und identifiziert IP-Adressen mit einer hohen Anzahl an Fehlversuchen, die auf automatisierte Angriffstools hindeuten.
Auswirkungen auf die Sicherheit:
| Muster |
Wahrscheinliche Art des Angriffs |
| Hohe Ausfallrate, Einzelbenutzer |
Gezielte Brute-Force-Angriffe |
| Hohe Fehlerquote, viele einzelne Nutzer |
Passwort-Spray-Angriff |
| Ausfälle innerhalb eines kurzen Zeitraums |
Tool zum automatisierten Credential Stuffing |
SELECT ip_address, COUNT(*) AS FailedAttempts,
COUNT(DISTINCT vectra.identity_principal) AS UniqueUsers,
MIN(Zeitstempel) AS ErsterAusfall,
MAX(Zeitstempel) AS LastFailure
FROM entra.signins."Demolab-AD"
WHERE ip_address IST NICHT NULL
UND Zeitstempel > date_add(Stunde, -6, now())
UND status.error_code != 0
GROUP NACH IP-Adresse
WÄHREND COUNT(*) >= 20
ORDER NACH Fehlversuche
LIMIT 100
8. Verdächtiger Zugriff auf Massendaten eines Speicherkontos
Was diese Abfrage findet:
- Benutzer oder Anwendungen, die innerhalb von 6 Stunden 100 oder mehr Lesevorgänge für Blobs oder Dateien ausführen
- Erfolgreiche Lesevorgänge in Azure Blob Storage und Azure File Services
- Nach Identität und Speicherressource gruppiert, um eine einfache Umstellung zu ermöglichen
Suchlogik: Analysiert die Azure-Aktivitätsprotokolle auf Lesevorgänge in Speicherkonten der letzten 6 Stunden und identifiziert Quellen, deren Lesevorgänge den Schwellenwert für Massenzugriffe erreichen oder überschreiten.
Auswirkungen auf die Sicherheit: Lesevorgänge im Massenspeicher deuten darauf hin, dass:
- Vorbereitung der Datenexfiltration – Angreifer laden Dateien vor der Übertragung in großen Mengen herunter
- Kompromittierte Konten werden dazu genutzt, Unternehmensdaten in großem Umfang zu stehlen
- Cloud , der auf geistiges Eigentum, Zugangsdaten oder Kundendaten abzielt
SELECT vectra.identity,
resourceid,
COUNT(*) AS Zugriffszahl,
COUNT(DISTINCT ResourceId) AS EindeutigeSpeicherkonten,
MIN(Zeitstempel) AS ErsterZugriff,
MAX(Zeitstempel) AS LastAccess
FROM azurecp.operations._all
WHERE Zeitstempel > date_add(Stunde, -6, now())
UND UPPER(operationname) IN ('MICROSOFT.STORAGE/STORAGEACCOUNTS/BLOBSERVICES/CONTAINERS/BLOBS/READ',
'MICROSOFT.STORAGE/STORAGEACCOUNTS/FILESERVICES/SHARES/FILES/READ')
UND resulttype = 'Erfolg'
GRUPPIEREN NACH vectra.identity, ResourceId
WÄHREND COUNT(*) >= 100
ORDER NACH Zugriffszahl
LIMIT 100
9. Übermäßige Zugriffsmuster auf Geheimnisse im Schlüsseltresor
Was diese Abfrage findet:
- Quellen, die innerhalb von 24 Stunden auf 20 oder mehr Key Vault-Geheimnisse zugreifen
- Quellen, die auf 10 oder mehr eindeutige Geheimnisse zugreifen – was auf eine massenhafte Erfassung von Anmeldedaten hindeutet
- Erfolgreiche SecretGet-, KeyGet- und CertificateGet-Vorgänge, gruppiert nach Identität und IP-Adresse
Erkennungslogik: Durchsucht die Azure-Aktivitätsprotokolle nach Key Vault-Zugriffsvorgängen der letzten 24 Stunden und identifiziert Quellen, die das normale Zugriffsvolumen der Anwendung überschreiten.
Sicherheitsrisiko: Übermäßige Zugriffe auf Key Vault stehen im Zusammenhang mit Angriffen zum Sammeln von Anmeldedaten, bei denen kompromittierte Identitäten dazu genutzt werden, Folgendes zu stehlen:
- API-Schlüssel und Verbindungszeichenfolgen für die laterale Bewegung
- Zertifikate zur Identitätsfälschung
- Für einen dauerhaften Zugriff in der gesamten Umgebung sind Geheimnisse erforderlich
SELECT calleripaddress,
vectra.identity,
Ressourcen-ID,
operationname,
COUNT(*) AS SecretAccessCount,
COUNT(DISTINCT resourceid) AS UniqueSecrets,
MIN(Zeitstempel) AS ErsterZugriff,
MAX(Zeitstempel) AS LastAccess
FROM azurecp.operations._all
WHERE Zeitstempel > date_add('hour', -24, now())
UND Operationsname IN ('SecretGet', 'KeyGet', 'CertificateGet')
UND resulttype = 'Erfolg'
UND calleripaddress IST NICHT NULL
GRUPPE NACH calleripaddress, vectra.identity, resourceid, operationname
HAVING COUNT(*) >= 20 ODER COUNT(DISTINCT resourceid) >= 10
ORDER NACH SecretAccessCount
LIMIT 100
Compliance-basierte threat hunting
Die Compliance-basierte Suche zielt auf Verstöße gegen Sicherheitsrichtlinien, Zugriffskontrollen oder architektonische Grenzen ab, die durch gesetzliche oder interne Standards definiert sind. Dieser Ansatz deckt riskante Verhaltensweisen auf, die zwar nicht unbedingt böswillig sind, aber auf Fehlkonfigurationen, Insider-Bedrohungen oder Lücken in der Durchsetzung hindeuten können – oft noch bevor sie zu Prüfungsfeststellungen oder Angriffsvektoren werden.
Was sollen Compliance-basierte Suchvorgänge aufdecken:
- In der Umgebung sind noch ältere Protokolle aktiv (SMBv1, unverschlüsselte Dienste)
- Versuche, Netzwerksicherheitskontrollen zu umgehen
- Nicht gepatchte oder veraltete Client-Software, die eine Angriffsfläche bietet, die ausgenutzt werden kann
- Die Nutzung nicht genehmigter KI-Dienste birgt das Risiko einer Datenpreisgabe
1. Verwendung von SMBv1
Was diese Abfrage findet:
- Alle Systeme, die in den letzten 14 Tagen aktiv das SMBv1-Protokoll genutzt haben
- Client-Verbindungen, Serverfreigaben und systemübergreifende Kommunikation über SMBv1
- Alte Anwendungen, ältere Windows-Systeme, NAS-Geräte und Software von Drittanbietern, die auf dieses veraltete Protokoll angewiesen sind
Suchlogik: Überprüft die SMB-Aktivitäten im Netzwerk der letzten 14 Tage und listet alle einzelnen Quellhosts auf, die SMBv1 verwenden.
Sicherheitsauswirkungen: Die Verwendung von SMBv1 birgt Risiken in dreierlei Hinsicht:
| Risikodimension |
Auswirkungen |
| Sicherheit |
Ermöglicht Angriffe durch laterale Bewegung – dasselbe Protokoll, das von WannaCry und NotPetya über EternalBlue ausgenutzt wurde |
| Einhaltung der Vorschriften |
Die meisten regulatorischen Standards (PCI-DSS, CIS Controls) schreiben ausdrücklich vor, dass SMBv1 deaktiviert werden muss |
| Betriebsbereit |
SMBv1 beeinträchtigt die Netzwerkleistung und -zuverlässigkeit |
SELECT DISTINCT id.orig_h, orig_hostname.name
FROM network.smb_mapping._all
WHERE version = 'SMBv1' UND Zeitstempel > date_add('day', -14, now())
2. Verwendung von HTTP CONNECT auf ungewöhnlichen TCP-Ports
Was diese Abfrage findet:
- HTTP-CONNECT-Anfragen an andere Ports als 80, 443, 8080 oder 8443
- Mögliche Tunneling-Versuche und Proxy-Missbrauch
- Unberechtigte ausgehende Verbindungen über nicht standardmäßige Ports
- Malware , über Ports, die die standardmäßige Webfilterung umgehen, auf externe Server zuzugreifen
Suchlogik: Durchsucht HTTP-Protokolle nach über einen Proxy geleiteten CONNECT-Methoden, die nicht das Standard-HTTPS (Port 443) verwenden. Die Deep Packet Inspection Vectra AI identifiziert HTTP-Datenverkehr unabhängig von der Portnummer, wodurch diese Suche auch gegen Techniken zur Portumgehung wirksam ist.
Sicherheitsauswirkung: HTTP CONNECT auf ungewöhnlichen Ports deutet auf Folgendes hin:
- Versuche, Netzwerksicherheitskontrollen zu umgehen
- Aufbau eines verdeckten Kanals
- Datenexfiltration über nicht standardmäßige Ports
- Als Web-Datenverkehr getarnter Malware -Datenverkehr
SELECT Zeitstempel, id.orig_h, orig_hostname, user_agent, id.resp_h, resp_hostname,
id.resp_p, Methode, host, uri, status_code
FROM network.http
WHERE is_proxied = true UND LOWER(Methode) = 'connect' UND uri NICHT LIKE '%:443'
UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
3. Erkennung veralteter Browser
Was diese Abfrage findet:
| Browser |
Erkennungsmuster |
| Internet Explorer (alle Versionen) |
Der User-Agent enthält %MSIE% |
| Firefox 3–6 |
Der User-Agent enthält %Firefox/[3-6]% |
| Chrome 1–49 |
Der User-Agent enthält %Chrome/[1-9]% oder %Chrome/[1-4][0-9]% |
| Safari 10–16 |
Der User-Agent entspricht dem Versionsmuster 1[0–6] |
Erkennungslogik: Erkennt HTTP-User-Agent-Strings, die auf die Verwendung veralteter Webbrowser hindeuten. Eine über mehrere Tage hinweg anhaltende Nutzung weist auf Systeme hin, die nicht gepatcht sind und einem erhöhten Risiko für Angriffe ausgesetzt sind.
Sicherheitsrisiko: Veraltete Browser werden häufig über folgende Wege ausgenutzt:
- Drive-by-Downloads von kompromittierten oder bösartigen Websites
- Phishing , die bekannte Sicherheitslücken in Browsern ausnutzen
- Schädliche Webinhalte, die auf dokumentierte, ungepatchte CVEs abzielen
Die fortgesetzte Nutzung veralteter Browser deutet häufig auf umfassendere Sicherheitslücken endpoint hin und kann einen Verstoß gegen Richtlinien endpoint darstellen.
SELECT id.orig_h, orig_hostname.name AS hostname, user_agent, COUNT(*) AS Anfrageanzahl
FROM network.http._all
WHERE Zeitstempel BETWEEN date_add('day', -14, now()) UND now()
UND ( user_agent LIKE '%MSIE%'
ODER user_agent LIKE '%Firefox/[3-6]%'
ODER user_agent LIKE '%Chrome/[1-9]%'
ODER user_agent LIKE '%Chrome/[1-4][0-9]%'
ODER user_agent LIKE '%Version/(1[0-6](\.\d+)*)\s+Safari%' )
GRUPPE NACH id.orig_h, orig_hostname.name, user_agent
ORDER NACH Anfrageanzahl DESC
LIMIT 100
4. Nutzung von KI-Diensten – Interaktionen mit generativen KI-Plattformen
Was diese Abfrage findet:
| Plattform |
Domänenmuster überwacht |
| OpenAI / ChatGPT |
%openai.com, %chat.openai.com |
| Anthropic / Claude |
%anthropic.com, %claude.ai |
| Google Bard |
%bard.google.com |
| Microsoft Kopilot |
%bing.com |
| Cohere |
%cohere.ai |
| Hugging Face |
%huggingface.co |
| Mistral |
%mistral.ai |
| DeepSeek |
%deepseek.com% |
Suchlogik: Durchsucht DNS-Metadaten nach ausgehenden Anfragen an bekannte Domains generativer KI-Plattformen und ermittelt dabei Hosts, Anfragevolumina und Nutzungsmuster.
Auswirkungen auf die Sicherheit: Der unkontrollierte Einsatz von KI birgt Risiken in drei Bereichen:
- Datenpreisgabe – Nutzer, die vertraulichen Code, Anmeldedaten oder interne Dokumente in Eingabefelder einfügen
- Verstöße gegen Compliance-Vorschriften – unbefugter Umgang mit Daten in regulierten Umgebungen (HIPAA, DSGVO, PCI-DSS)
- Schatten-IT – Einsatz von KI unter Umgehung etablierter Sicherheitskontrollen und Richtlinien zur Datenverwaltung
SELECT Abfrage, COUNT(DISTINCT orig_hostname.name) als unique_host_count,
COUNT(*) als Gesamtanzahl_der_Abfragen
FROM network.dns
WHERE ( query LIKE '%openai.com'
ODER Abfrage LIKE '%chat.openai.com'
ODER Abfrage LIKE '%anthropic.com'
ODER Abfrage LIKE '%claude.ai'
ODER Abfrage LIKE '%bard.google.com'
ODER Abfrage LIKE '%bing.com'
ODER Abfrage LIKE '%cohere.ai'
ODER Abfrage LIKE '%huggingface.co'
ODER Abfrage LIKE '%mistral.ai'
ODER Abfrage LIKE '%deepseek.com%' )
UND Zeitstempel ZWISCHEN date_add('day', -14, now()) UND now()
GROUP NACH Abfrage
ORDER BY unique_host_count DESC, Gesamtanzahl_der_Abfragen DESC
LIMIT 100
IOC-basierte threat hunting
threat hunting IOC-basierte threat hunting potenzielle Sicherheitslücken, deckt die Wiederverwendung von Angreiferinfrastruktur auf und erkennt Bedrohungen, die möglicherweise die ersten Abwehrmechanismen umgangen haben. Sie erweist sich als besonders wirksam bei der Reaktion auf Bedrohungsinformationen oder öffentliche Bekanntmachungen zu aktiven Kampagnen.
Was sind Indikatoren für eine Kompromittierung (IOCs)?
IOCs sind Anhaltspunkte, die im Kontext auf Angreiferaktivitäten hindeuten. Sie lösen in der Regel nicht von sich aus eine Erkennung aus – es bedarf einer aktiven Untersuchung, um zu bestätigen, ob ein Treffer tatsächlich auf eine Kompromittierung hindeutet.
| IOC-Typ |
Beispiele |
| Verdächtige Domains |
Vom Angreifer kontrollierte C2-Infrastruktur, phishing |
| Bösartige IP-Adressen |
Infrastruktur, die mit malware oder dem Abfluss von Daten in Verbindung steht |
| Datei-Hashes |
Bekannte Fingerabdrücke malware |
| Browser und E-Mail-Adressen |
Muster, die bei phishing Identitätsbetrugskampagnen verwendet werden |
| Authentifizierungsdaten |
OAuth-Token, API-Schlüssel und Registrierungsschlüssel, die in Persistenzmechanismen verwendet werden |
Woher beziehen Sicherheitsteams IOCs?
| Quellentyp |
Beispiele |
| Berichte zur Bedrohungslage |
Mandiant, Volexity, CISA-Hinweise, Vectra Threat Research |
| Sicherheitsnachrichten und Blogs |
BleepingComputer, KrebsOnSecurity |
| Communities zum Austausch von Bedrohungsinformationen |
ISACs, GitHub-Repositorys, AlienVault OTX |
| Soziale Medien |
Beiträge auf X/Twitter von renommierten Sicherheitsforschern |
| Plattformen für die Detektionstechnik |
Sigma-Regeln, YARA-Repositorys |
IOC-Erkennungs-Workflow in der Vectra AI
Sobald Sie über einen IOC oder mehrere IOCs verfügen, umfasst der Untersuchungsablauf vier Schritte:
- Suche – Suche nach Domain, IP-Adresse oder Hash in historischen Metadaten und Erkennungen
- Pivot – ermitteln, welcher Host oder Benutzer mit dem IOC interagiert hat
- Zeitablauf untersuchen – feststellen, wann das IOC zum ersten Mal auftrat und ob es erneut aufgetreten ist
- Überprüfen Sie die Aktivitäten in der Umgebung – achten Sie auf nachfolgende Verhaltensweisen wie die Ausweitung von Berechtigungen, laterale Bewegungen oder ungewöhnliche Datenzugriffsmuster
Tipp: Selbst wenn ein IOC veraltet oder sehr allgemein gehalten ist, kann es dennoch dabei helfen, seit Langem bestehende Bedrohungen aufzudecken oder die Eindämmung nach einem Vorfall zu bestätigen.
Beispiel-Workflow: Es wird eine CISA-Warnmeldung mit Indikatoren veröffentlicht, die mit einer bekannten APT-Kampagne in Verbindung stehen. Sie extrahieren zwei Domains, eine IP-Adresse und einen PowerShell-Hash. In der Vectra AI suchen Sie in den HTTP-Metadaten nach einer der Domains und entdecken Aktivitäten, die drei Wochen zurückliegen. Der Zielhost ist ein Finanzsystem. Sie wechseln in den Bereich „Investigate“ und sehen damit verbundene Erkennungen: „Abnormale Skriptaktivitäten“ und „Verdächtige laterale Bewegung“. Sie verfügen nun über hochgradig zuverlässige Beweise, um den Vorfall zu eskalieren und einzudämmen.
1. Bösartige Domains – Command-and-Control- bzw. phishing
Was diese Abfrage findet:
- Ausgehende Sitzungen zu bekanntermaßen schädlichen Domains
- Mögliche C2-Rückrufe, Beaconing-Aktivitäten oder Benutzerinteraktionen mit phishing
Suchlogik: Es wird nach Netzwerksitzungen der letzten 14 Tage gesucht, bei denen die Zieldomäne mit einer Liste bekannter bösartiger Domänen übereinstimmt.
Sicherheitsauswirkungen: Verbindungen zu von Angreifern kontrollierten Domänen können auf Folgendes hindeuten:
- Aktive C2-Kommunikation oder Beaconing
- Vorbereitung des Payload-Downloads
- Interaktion der Benutzer mit phishing (häufig bei Infostealern wie LummaC2 oder Initial-Access-Brokern wie Scattered Spider zu beobachten)
SELECT Zeitstempel, uid, id.orig_h als "id_orig_h", orig_hostname, id.resp_h als „id_resp_h“,
resp_hostname, id.resp_p als "id_resp_p", proto_name, orig_ip_bytes,
resp_ip_bytes, duration, conn_state, sensor_uid
FROM network.isession
WHERE (resp_domain = 'baddomain1.com' ODER resp_domain = 'baddomain2.com')
UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
2. Bekannte bösartige IP-Adressen – Wiederverwendung von Infrastruktur oder Datenentwendung
Was diese Abfrage findet:
- Verbindungen zu oder von IP-Adressen auf der Sperrliste in den letzten 14 Tagen
- Vollständige Sitzungsdetails einschließlich Quelle, Ziel, Protokoll und Dauer für jede übereinstimmende Verbindung
Suchlogik: Sucht nach allen Netzwerksitzungen, an denen bestimmte IP-Adressen als Quelle oder Ziel beteiligt sind.
Sicherheitsrelevanz: IP-basierte IOCs werden häufig in verschiedenen Kampagnen von Angreifern wiederverwendet. Übereinstimmungen können darauf hindeuten, dass:
- Malware an die Infrastruktur eines bekannten Angreifers
- Es findet gerade eine direkte Datenexfiltration statt
- Anhaltender Angriff unter Nutzung bereits identifizierter Infrastruktur
SELECT Zeitstempel, uid, id.orig_h als "id_orig_h", orig_hostname, id.resp_h als „id_resp_h“,
resp_hostname, id.resp_p als "id_resp_p", proto_name, orig_ip_bytes, resp_ip_bytes,
Dauer, Verbindungsstatus, Sensor-UID
FROM network.isession
WHERE (id.resp_h IN ('192.0.2.1', '192.0.2.2') ODER id.orig_h IN ('192.0.2.1', '192.0.2.2'))
UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
3. Verdächtige Dateinamen – Vorbereitung bösartiger Payloads
Was diese Abfrage findet:
- Dateien, die über SMB übertragen werden und deren Basisdateinamen länger als 50 Zeichen sind
- Muster im Zusammenhang mit malware automatisierten malware und der Verschleierung von Daten
Suchlogik: Durchsucht die SMB-Dateiaktivitäten der letzten 14 Tage und extrahiert und listet Dateien mit ungewöhnlich langen Basisdateinamen auf.
Sicherheitsrisiko: Übermäßig lange oder verschleierte Dateinamen deuten auf Folgendes hin:
- Automatisierte malware oder skriptbasierte Bereitstellung von Payloads
- Verbreitungsmuster Ransomware
- Die Werkzeuge für die Loader-Kampagne werden für die Ausführung bereitgestellt
SELECT name, REGEXP_EXTRACT(name, '([^\\/]+)$') AS Basisdateiname,
LENGTH(REGEXP_EXTRACT(name, '([^\\/]+)$')) AS base_length
FROM network.smb_files
WHERE LÄNGE(REGEXP_EXTRACT(name, '([^\\/]+)$')) > 50 UND Zeitstempel > date_add('day', -14, now())
ORDER BY base_length DESC
LIMIT 50
4. Dateien ohne Vokale – verschleierte oder automatisch generierte malware
Was diese Abfrage findet:
- SMB-Dateinamen, deren Basisdateiname keine Vokale enthält
- Muster, die mit programmgesteuert generierten malware in Verbindung stehen
Suchlogik: Extrahiert Dateinamen, die keine Vokale enthalten (nur Konsonanten oder Sonderzeichen), aus der SMB-Dateiaktivität der letzten 14 Tage.
Sicherheitsauswirkung: Dateinamen ohne Vokale deuten auf eine programmgesteuerte Generierung hin – eine gängige Umgehungstechnik, die von malware genutzt wird, um eine signaturbasierte Erkennung zu vermeiden. Bleiben diese Payloads unentdeckt, verlängern sie die Verweildauer des Angreifers und verstärken die Auswirkungen des Angriffs.
SELECT name, REGEXP_EXTRACT(name, r'([^\\/]+)$') AS Basis-Dateiname
FROM network.smb_files
WHERE REGEXP_LIKE(REGEXP_EXTRACT(name, r'([^\\/]+)$'), '^[^aeiouAEIOU]+$') UND
Zeitstempel > date_add('day', -14, now())
LIMIT 50
5. Verdächtige Dateipfade – laterale Bewegung oder Vorbereitung
Was diese Abfrage findet:
- Dateien, auf die in / zugegriffen wurde oder die geändert wurden
App/Daten/Roaming/ Wege - Dateioperationen in Verzeichnissen, die von malware Post-Exploitation-Tools häufig als Zwischen- oder Persistenzspeicherorte genutzt werden
Suchlogik: Durchsucht die SMB-Dateiaktivitäten der letzten 14 Tage nach Dateien, auf die über Pfade im Verzeichnis „AppData/Roaming“ zugegriffen wurde. Die Abfrage kann angepasst werden, um beliebige relevante Dateipfade in Ihrer spezifischen Umgebung zu überwachen.
Sicherheitsrisiko: Die Verzeichnisse „AppData/Roaming“ werden von malware Angriffstools gezielt ins Visier genommen, weil:
- Sie unterliegen einer geringeren betrieblichen Kontrolle als Systemverzeichnisse
- Sie können von Standardbenutzerkonten ohne erweiterte Rechte bearbeitet werden
- Tools können von diesen Standorten aus unbegrenzt lange ausgeführt werden, ohne dass die üblichen Regeln zur Überwachung der Dateiintegrität ausgelöst werden
SELECT Zeitstempel, uid, id.orig_h als "id_orig_h", orig_hostname, id.resp_h als „id_resp_h“,
resp_hostname, id.resp_p als "id_resp_p", version, path, action, name, sensor_uid
FROM network.smb_files
WHERE Pfad LIKE '%/App/Data/Roaming/%' UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
6. JA3-Fingerabdruck – TOR oder ungewöhnliche TLS-Clients
Was diese Abfrage findet:
- TLS-Verbindungen unter Verwendung des JA3-Fingerabdrucks, der mit TOR-Clients verknüpft ist
- Systeme, auf denen TOR-Browser oder TOR-basierte Anwendungen in einer Unternehmensumgebung ausgeführt werden
Suchlogik: Ruft SSL/TLS-Sitzungsprotokolle der letzten 14 Tage ab und filtert nach einem bestimmten JA3-Hash, von dem bekannt ist, dass er mit TOR-Clients übereinstimmt.
Sicherheitsauswirkungen: Die Nutzung von TOR in einer Unternehmensumgebung kann auf Folgendes hindeuten:
| Indikatorart |
Mögliche Bedeutung |
| Mitarbeitergeräte |
Verstöße gegen Richtlinien, Verwendung von Anonymisierungssoftware |
| Server oder Workstation |
Malware , die TOR für die anonymisierte Kommunikation nutzt |
| Automatisierte Frameworks |
Angriffstools, die nicht standardmäßige TLS-Implementierungen nutzen |
| Jeder Vermögenswert |
Datenabfluss über verschlüsselte, anonymisierte Kanäle |
Weitere Informationen: Die Dokumentation zur JA3-Methodik ist unter https://github.com/salesforce/ja3 verfügbar. Von der Community kuratierte JA3-Fingerabdrücke sind unter https://ja3.zone/ verfügbar.
SELECT Zeitstempel, uid, id.orig_h als "id_orig_h", orig_hostname, id.resp_h als „id_resp_h“,
resp_hostname, id.resp_p als "id_resp_p", server_name, client_version,
next_protocol, cipher, ja3, established, sensor_uid
FROM network.ssl
WHERE ja3 = 'e7d705a3286e19ea42f587b344ee6865' UND Zeitstempel > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
Aufbau einer standardisierten threat hunting mit Vectra AI
Threat hunting seinen größten Nutzen, wenn es in den Arbeitsalltag integriert und als regelmäßige Praxis etabliert wird, anstatt nur als reaktive, einmalige Maßnahme durchgeführt zu werden. Die Abfragen in diesem Leitfaden dienen als Ausgangspunkt. Das Ziel besteht darin, sie an Ihre Umgebung anzupassen, die effektivsten Varianten zu speichern und sie in strukturierte Hunting-Zyklen zu integrieren.
So setzen Sie die Jagd mit der Vectra AI um:
- Nutzen Sie 5-minütige Überprüfungen für schnelle, regelmäßige Kontrollen zur Erkennung wertvoller TTPs und zur Überprüfung der Compliance
- Erstellen Sie mithilfe gespeicherter Suchanfragen eine Bibliothek mit umgebungsspezifischen Abfragen
- Nutzen Sie die KI-gestützte Suche, um die Ausrichtung Ihrer Ermittlungen zu beschleunigen und empfohlene nächste Schritte in verständlicher Sprache anzuzeigen
- Reichen Sie neue Abfragen ein und treten Sie über dasThreat Hunting Vectra AI Threat Hunting mit der breiteren Community in Kontakt
Die durch konsequentes Hunting gewonnene Routine wirkt sich bei der Reaktion auf Vorfälle als operativer Multiplikator aus: Teams, die regelmäßig Hunting betreiben, ermitteln schneller, nehmen eine genauere Triage vor und eindämmen Bedrohungen, bevor sie eskalieren.
