Die meisten Seiten, die bei der Suche nach threat hunting ganz oben ranken, sind Anbieter-Listen – Ranglisten von Marken, die kaum durch Belege untermauert sind. Dieser Leitfaden verfolgt stattdessen den Ansatz des Käufers. Er vergleicht die vier Kategorien von threat hunting , wendet sieben Bewertungskriterien mit Mindestanforderungen für 2026 an, geht die Entscheidung zwischen Eigenentwicklung, Kauf und Open Source durch und stützt jede Empfehlung auf aktuelle Primärquellen. Bei KI kommt es vor allem auf Ehrlichkeit an. Laut dem „Global Cybersecurity Outlook 2026“ des Weltwirtschaftsforums ist der Einsatz von KI nahezu universell verbreitet, doch die führende Umfrage zum Thema Threat Hunting kommt zu dem Schluss, dass „der Einfluss KI-basierter Techniken auf die Aufdeckung von Bedrohungsakteuren nach wie vor begrenzt ist“ (SANS 2025 Threat Hunting ). Wenn Sie entscheiden, was Sie einem EDR-zentrierten Stack hinzufügen möchten, kommt es vor allem auf die Telemetrieabdeckung an – also darauf, in welcher Kategorie das Angreiferverhalten auftritt, das Sie derzeit nicht erkennen können –, und nicht darauf, welche Marke eine Liste anführt.
Threat hunting sind Softwareplattformen und Datenquellen, mit denen Sicherheitsteams ihre Umgebung proaktiv nach Angreifern durchsuchen können, die automatisierten Warnmeldungen entgehen. Sie lassen sich in vier Kategorien einteilen – SIEM- und Analyseplattformen, endpoint and Response (EDR), Network Detection and Response (NDR) sowie Threat Intelligence – und werden anhand der Telemetrieabdeckung, der Abfragefähigkeit und der glaubwürdigen Nachweise für ihre Erkennungsergebnisse bewertet.
Drei Funktionen unterscheiden ein Tool zur Bedrohungssuche von einem reinen Warnsystem: beliebige Abfragen und Pivot-Funktionen, die Speicherung von Telemetriedaten zur nachträglichen Analyse sowie die Unterstützung hypothesengestützter Untersuchungen anstelle einer Regel-Engine, die auf bekannte Signaturen reagiert. Auf dieser Seite wird davon ausgegangen, dass Sie bereits mit dem Fachgebiet selbst vertraut sind – der threat hunting behandelt den Prozess, die Frameworks und die Vorteile – und dass Sie verstehen, wie proaktive Bedrohungssuche die alarmgesteuerte Bedrohungserkennung ergänzt. Im Folgenden geht es ausschließlich um die Wahl des richtigen Tools.
Die häufigste Unklarheit besteht darin, wie sich diese Tools von den bereits bei Ihnen eingesetzten Lösungen unterscheiden. Ein SIEM zentralisiert Protokolle und löst bei Erfüllung der von Ihnen festgelegten Regeln Alarm aus – es beantwortet Fragen, die Sie sich im Voraus gestellt haben. Endpoint and Response überwacht verwaltete Hosts intensiv, bietet jedoch kaum Einblicke über diese hinaus. threat hunting ist jede Plattform, die einem Analysten die Telemetriedaten und die Abfragefunktionen zur Verfügung stellt, um eine neue Hypothese zum Verhalten von Angreifern zu überprüfen – weshalb alle vier Kategorien in diesem Leitfaden in Frage kommen, wenn sie diese Anforderungen erfüllen, und warum keine einzelne Kategorie für sich allein ausreicht.
Diese neue Sichtweise ist die erste Erkenntnis des Käufers. Bei fundierten Bewertungen steht das kategorieorientierte Denken im Vordergrund, denn die eigentliche Entscheidung hängt von der Telemetrieabdeckung ab, nicht von der Marke. Fragen Sie sich, welche Angreiferaktivitäten Sie derzeit nicht erkennen können – im Netzwerk, in Identitätssystemen, in cloud –, und die Auswahlliste der Tools für threat hunting ergibt sich threat hunting von selbst. Der Rest dieses Leitfadens liefert die Belege, die Kriterien und den Entscheidungsrahmen, um diese Auswahlliste zu untermauern.
Beginnen wir mit dem Argument, mit dem jeder Anbieter mittlerweile wirbt: KI. Die Verbreitung ist tatsächlich nahezu flächendeckend – 77 % der Unternehmen haben KI für die Cybersicherheit implementiert, und 94 % bezeichnen KI als den größten Treiber des Wandels im Jahr 2026 (WEF Global Cybersecurity Outlook 2026). Doch die Verbreitung und die nachgewiesene Wirksamkeit bei der Bedrohungssuche sind zwei verschiedene Dinge, die in dieser Kategorie jedoch regelmäßig miteinander verwechselt werden. Die Threat Hunting aus dem Jahr 2025 spricht Klartext: In der Zusammenfassung heißt es, dass „der Einfluss KI-basierter Techniken auf die Aufdeckung von Angreifern nach wie vor begrenzt ist“, und die einzige konkrete KI-Kennzahl bleibt statistisch gesehen unverändert – 48 % im Jahr 2025 gegenüber 47 % im Jahr 2024. KI reduziert eindeutig den Aufwand für die Triage und manuelle Arbeiten. Die autonome Erkennung neuartiger Angreifer ist der Bereich, für den es bislang noch keine Belege gibt.
Auch die übrigen Belege aus dem Jahr 2026 sind ebenso konkret:
T1055) belegte mit 30 % zum dritten Mal in Folge den ersten Platz; Angreifer „konzentrierten 80 % ihrer Vorgehensweisen auf Tarnung, Ausweichen und Persistenz“ sowie auf ransomware (T1486) sank relativ gesehen um 38 % (Picus Red-Bericht 2026).Zusammengenommen beschreiben diese Zahlen einen Angreifer, der am Einstiegspunkt schnell vorgeht und sich anschließend wochenlang ruhig verhält – das Profil einer modernen, fortgeschrittenen, persistenten Bedrohung. In der ruhigen Phase nutzt der Angreifer die „Living off the Land“ (LOTL)-Taktik – den Missbrauch legitimer, integrierter Tools und Administratorfunktionen, die signaturbasierten Warnsystemen keine Anhaltspunkte liefern. Nur durch proaktive Suche in den gespeicherten Telemetriedaten lässt sich der Angreifer aufspüren.
Das aktuellste Beispiel ist die Empfehlung der CISA vom Juli 2026 zur Router-Sicherheit. Am 13. Juli 2026 veröffentlichten die CISA, die NSA, das FBI und DC3 gemeinsam mit internationalen Partnern eine gemeinsame Empfehlung AA26-194A, „Verbesserung der Router-Sicherheit zum Schutz vor staatlich geförderten Angriffen aus Russland“. Die Kampagne wird Akteuren des russischen FSB-Zentrums 16 zugeschrieben, die unter den Namen „Berserk Bear“ und „Static Tundra“ – einer Gruppe aus der „Dragonfly“-Familie – bekannt sind und legitime Geräteverwaltungsfunktionen von Netzwerkgeräten missbrauchen, wobei Cisco-Produkte laut der Sicherheitsempfehlung als Ziel der Angriffe genannt werden (Nextgov/FCW). Die Vorgehensweise basiert ganz auf dem Prinzip „Living off the Land“: schwache SNMP-Community-Strings, SNMP-Set-Anfragen, die laufende Konfigurationen kopieren, TFTP-Übertragungen dieser Konfigurationen und Anmeldungen über nicht standardmäßige Konten. Da auf diesen Geräten keine Endpoint ausgeführt werden können, basieren die Empfehlungen des Sicherheitshinweises auf Telemetriedaten – SNMP absichern, ausgehenden TFTP-Verkehr überwachen, Warnmeldungen bei Artefakten aus Konfigurations-Dumps auslösen, wie beispielsweise config.bkp und output.txt, und Anmeldungen auf Konten, die von der Norm abweichen, zu kennzeichnen. Der Anbieter von Angreifer-Emulationslösungen AttackIQ hat bereits veröffentlicht Testbare Erkennungsszenarien für die Empfehlung. Für einen Käufer ergibt sich daraus eine strukturelle Erkenntnis: Diese Kampagne ist für einen endpoint Endpunkt-Stack nicht sichtbar.
Da die meisten Seiten, die zu diesem Suchbegriff ranken, keinerlei Quellenangaben zu den Statistiken enthalten, kursieren veraltete Zahlen ungehindert. Die folgende Tabelle korrigiert die vier häufigsten Angaben anhand der Primärquellen (Stand: Mitte 2026).
Tabelle 1. Vergleich der häufig zitierten Statistiken zur Bedrohungssuche mit den Primärquellen, 2026.
Jede seriöse Auflistung threat hunting lässt sich auf dieselben vier Kategorien zurückführen: SIEM- und Sicherheitsanalyseplattformen, endpoint and Response mit der XDR-Erweiterung, Network Detection and Response sowie Threat Intelligence mit Anreicherung. Betrachten Sie die KI-gestützte Bedrohungssuche als eine Funktionsschicht, die sich über alle vier Kategorien erstreckt, und nicht als fünfte Produktklasse – denn die Belege für eine autonome Erkennung liegen noch nicht vor. Ein struktureller Hinweis: In einigen viel beachteten Vergleichen wird die Kategorie „Netzwerk“ gänzlich ausgelassen. Die von SANS festgestellte Tatsache, dass LOTL-Techniken die am häufigsten beobachtete Taktik staatlicher Akteure sind und von 76 % der Befragten genannt wurden (SANS 2025), ist der Grund dafür, dass Netzwerktelemetrie nicht optional sein darf.

Tabelle 2. Vergleich der vier Kategorien von threat hunting hinsichtlich Telemetrie, Stärken, Schwachstellen und der am besten geeigneten Zielgruppe.
SIEM- und Sicherheitsanalyseplattformen bilden die Grundlage für die Suche von Teams, die eine zentrale Anlaufstelle benötigen, um zahlreiche Quellen abzufragen. Ein SIEM aggregiert und korreliert Protokolle aus der gesamten Infrastruktur, und durch die Einbindung von User and Entity Behavior Analytics (UEBA) werden über die reine Suche hinaus Abweichungen von der Basislinie aufgespürt. Die Stärken liegen in der zentralisierten Aufbewahrung und einer einheitlichen Abfrageoberfläche. Der strukturelle blinde Fleck sind alle Vorgänge, die niemals ein Protokoll erzeugen, und die Kosten steigen mit dem Erfassungsvolumen – genau deshalb bestimmen letztendlich die Entscheidungen zur Aufbewahrungsdauer die Tiefe der Suche.
Endpoint and Response (EDR) verfügt über die umfassendsten Host-Telemetriedaten – Prozesse, Dateien, Registrierungsdaten, Arbeitsspeicher – und Extended Detection and Response (XDR) erweitert diese Korrelation auf Identitäten und cloud. Wenn der endpoint das Schlachtfeld endpoint , gibt es nichts Vergleichbares. Allerdings können EDR-Tools nicht verwaltete und nicht verwaltbare Geräte – Router, Edge-Geräte, IoT und OT – nicht erfassen. Diese Lücke wird von Programmen zum Angriffsflächenmanagement immer wieder aufgedeckt, und die Kampagne „AA26-194A“ zeigt, dass Angreifer sie gezielt ausnutzen. Endpoint allein reicht für die „Living-off-the-Land“-Jagd nicht aus.
Die Netzwerkerkennung und -reaktion (NDR) analysiert den Datenverkehr und die Metadaten anhand von Verhaltensmustern. Auf diese Weise können Sicherheitsverantwortliche Command-and-Control-Aktivitäten, laterale Bewegungen und LOTL-Missbrauch aufdecken, die keine endpoint hinterlassen. NDR erfordert die Installation von Sensoren und eine Basisphase, bevor sich die Erkennungsergebnisse stabilisieren – planen Sie beides ein –, doch es ist genau diese Kategorie, die die Lücke schließt, die in der Empfehlung zur Router-Hygiene beschrieben wird, und die natürliche Netzwerkschicht einer ausgewogenen Transparenzarchitektur darstellt.
Threat Intelligence und Anreicherung verwandeln eine Beobachtung in eine Hypothese – TTPs von Akteuren, Indikatoren und Signale aus offenen Quellen, die einem Hunter Aufschluss darüber geben, wo er als Nächstes suchen sollte. Dabei handelt es sich eher um eine Grundlage für die anderen drei Kategorien als um einen eigenständigen Suchbereich; der spezielle Leitfaden zu Threat-Intelligence-Tools behandelt Plattformen, Feeds und Preise ausführlich.
In allen vier Bereichen lohnen sich KI-gestützte Funktionen – wie unterstützte Triage, quellenübergreifende Korrelation und Abfragen in natürlicher Sprache – dann, wenn sie nachweislich die Arbeit eines Analysten beschleunigen. Bewerten Sie diese Funktionen als Teil einer Kategorie und nicht als eigenständige Kategorie. Die folgenden Bewertungskriterien geben Ihnen genau die Fragen vor, die Sie stellen sollten.
Unabhängig von der Kategorie besteht die Pipeline aus denselben fünf Phasen. Die Tools erfassen Telemetriedaten aus so vielen Quellen wie möglich, reichern diese mit Kontextinformationen an – Asset-Identität, Geolokalisierung, Abgleiche mit Informationsdaten – und wenden anschließend Musteranalysen an, um Abweichungen vom Referenzwert aufzudecken. Durch Korrelation werden verwandte Ereignisse zu einer für Menschen nachvollziehbaren Darstellung verknüpft, und im Rahmen der Untersuchung wird die Hypothese bestätigt oder verworfen. Die Pipeline ist für einen Käufer von Bedeutung, da sich die Tools in jeder Phase tatsächlich unterscheiden: Was sie erfassen, bestimmt, was sie finden können, und wie gut sie korrelieren, entscheidet darüber, wie viel Arbeit ein Analyst manuell nachbearbeiten muss.
Die Pipeline verdeutlicht zudem, warum die Verhaltensanalyse zur tragenden Säule geworden ist. Signatur- und regelbasierte Erkennung greift nur bei Vorfällen, die jemand vorhergesehen hat, und „Living-off-the-Land“-Aktivitäten sind auf Signaturebene naturgemäß nicht von Verwaltungsvorgängen zu unterscheiden. Die Erstellung von Verhaltens-Baselines über Netzwerk und Identität hinweg verwandelt „ein legitimes Konto hat ein legitimes Tool ausgeführt“ in einen Hinweis für die Bedrohungssuche – weshalb sich sowohl proaktive Methoden als auch Tools threat hunting auf hypothesengesteuertes Arbeiten mit gespeicherten, angereicherten Telemetriedaten konzentrieren.

„Was sind die besten threat hunting ?“ – diese Frage stellt sich bei jeder Bewertung irgendwann, und Ranglisten der besten threat hunting können sie nicht beantworten – eine Bewertungsrubrik hingegen schon. Die besten threat hunting in Ihrer Umgebung sind diejenigen, die sieben Tests in Bezug auf Ihre Telemetriedaten, Ihr Team und Ihr Bedrohungsmodell bestehen. Die folgende Bewertungsmatrix lässt sich auf jeden Kandidaten anwenden, egal ob kommerziell oder Open Source, und dient gleichzeitig als Vorlage für eine Ausschreibung. Unabhängig davon, ob ein Anbieter sein Produkt als threat hunting , als Analysesuite oder als Erkennungstool mit Hunt-Funktionen vermarktet, gelten dieselben sieben Kriterien:
Tabelle 3. Sieben herstellerunabhängige Kriterien zur Bewertung von threat hunting mit Mindestanforderungen für das Jahr 2026.
Kriterium 1 entscheidet darüber, ob eine Bewertung erfolgreich ist oder nicht, da die Telemetrie bestimmt, was eine Hunt überhaupt erkennen kann. Die in AA26-194A dokumentierten „Living-off-the-Land“-Angriffe und der Missbrauch von Edge-Geräten sind für einen endpoint Stack unsichtbar – auf einem Router läuft kein Agent –, und die Identitätsfläche spielt bei den meisten aktuellen Untersuchungen eine Rolle. Ordnen Sie die native Telemetrie jedes Anbieters Ihrer Umgebung zu und betrachten Sie die Abdeckung durch Netzwerk-Erkennung und -Reaktion als eine Anforderung erster Ordnung und nicht als bloßes Zusatzfeature. Die Mindestanforderung für 2026 ist die kombinierte native Transparenz endpoint, Netzwerk und Identitäten.
Die Kriterien 2 und 3 gehören zusammen, denn Abfragefunktionen nützen nichts, wenn die Telemetriedaten nicht mehr vorhanden sind. Bestehen Sie auf einer Ad-hoc-Abfragesprache und quellenübergreifendem Pivoting und testen Sie beides im Rahmen einer Live-Suche während der Testphase – durchgeführt von Ihrem eigenen SOC-Analysten, nicht vom Vertriebsingenieur des Anbieters. Legen Sie dann die Kosten für die Datenaufbewahrung ehrlich fest. Die mediane Verweildauer von 14 Tagen (M-Trends 2026) ist die Untergrenze, nicht die Planungsgröße – Volt Typhoon mindestens fünf Jahre lang in kritischen Infrastrukturen der USA Volt Typhoon (CISA AA24-038A, 2024). Neunzig Tage an leicht durchsuchbaren Telemetriedaten sind das glaubwürdige Minimum für 2026.
Kriterium 4 befasst sich mit der am häufigsten manipulierten Zahl auf dem Markt: MITRE ATT&CK Abdeckung. Ein Prozentsatz sagt nichts über die Tiefe aus – die Behandlung einer Teiltechnik von T1059 (Befehls- und Skript-Interpreter, Version 2.7, mit 13 Untertechniken) deckt diese Technik nicht ab. Fragen Sie nach Zuordnungen auf Technikebene, der dahinterstehenden Erkennungslogik und Nachweisen, die Sie anhand von Testdaten in Ihrer eigenen Umgebung überprüfen können. Ein Anbieter, der Ihnen erklärt, wie Sie seine Behauptungen überprüfen können, sagt Ihnen damit bereits etwas; einer, der sich dagegen sträubt, sagt Ihnen noch mehr.
Kriterium 5 ist dasjenige, das auf fast keiner Ranking-Seite erwähnt wird: Verhaltensanalyse-Tools liefern nicht vom ersten Tag an einen Mehrwert. Verhaltens-Baselines benötigen 60–90 Tage, bevor die Erkennung von Anomalien zuverlässig ist – so die Expertenmeinung von Jason Martin von Permiso in den „Cyber Insights 2026“ von SecurityWeek – und ein Anbieter, der seinen Baseline-Zeitraum nicht offenlegt, hat diesen noch nicht in Betrieb genommen. Fragen Sie, ab wann die Erkennungen zuverlässig sind, fragen Sie, was das Tool während der Einarbeitungsphase leisten kann, und planen Sie die dafür benötigte Zeit als Teil des Kaufs ein.
Die Kriterien 6 und 7 schließen den Kreis in Sachen Ehrlichkeit. Man sollte zwischen KI-gestützten Tools, die die Arbeit eines menschlichen „Hunters“ beschleunigen, und den Behauptungen der KI-Befürworter über eine autonome Erkennung unterscheiden – die Erkenntnis von SANS, dass der Einfluss der KI auf die „Hunting“-Aktivitäten „nach wie vor begrenzt“ ist, ist der Grund dafür, dass bei Maßnahmen mit hohem Schweregrad Kontrollen durch den Menschen („Human-in-the-Loop“) sowie offen gelegte Sicherheitsvorkehrungen gefordert werden. Was die Kosten angeht, sollten Sie die Lizenzierungsstruktur –endpoint nach Erfassungsvolumen – anhand Ihrer tatsächlichen Datenmengen modellieren und dann noch einen Schritt weitergehen. Nur 51 % der Teams messen die Effektivität der Bedrohungssuche formell, ein Rückgang gegenüber 64 % (SANS 2025); bevorzugen Sie daher Tools, die von Haus aus Kennzahlen zur Suchwirksamkeit generieren. Ein Tool, das Sie nicht messen können, ist ein Tool, das Sie bei der Vertragsverlängerung nicht verteidigen können.
Die Debatte „Selbst entwickeln oder kaufen“ in diesem Markt weist ein Problem hinsichtlich der Offenlegung auf: Die meisten veröffentlichten Quellen, die argumentieren, dass Open Source unzureichend sei, verkaufen ein kommerzielles Produkt. Die ehrliche Herangehensweise geht von Ihren eigenen Einschränkungen aus, nicht vom Angebot eines Anbieters. Open-Source-Tools können hervorragend sein – ihr tatsächlicher Preis besteht aus den Arbeitsstunden qualifizierter Analysten und der Disziplin, die für den Eigenbetrieb erforderlich ist. Kommerzielle Plattformen bieten eine schnelle Amortisation und Support – ihr tatsächlicher Preis sind Lizenzkosten, die mit der Größe Ihrer Infrastruktur skalieren. Fünf Faktoren, abgewogen gegen den Reifegrad Ihres SOC-Betriebs, entscheiden darüber, welche Seite des jeweiligen Kompromisses Sie wählen sollten.
Tabelle 4. Zuordnung der fünf Entscheidungsfaktoren zu Open-Source-, kommerziellen und hybriden threat hunting .
In jeder Kategorie gibt es leistungsfähige Einstiegslösungen, für die keine Lizenz erforderlich ist: Open-Source-Netzwerk-Metadatenanalyse für die Transparenz des Datenverkehrs, endpoint für die Host-Abfrage in großem Maßstab, Community-Feeds mit Bedrohungsinformationen zur Anreicherung sowie der ATT&CK Navigator von MITRE zur Abbildung der von Ihnen aufgebauten Abdeckung. Kombinieren Sie diese mit den EDR-Tools, die Sie bereits einsetzen, und Sie können noch heute mit der Bedrohungssuche beginnen. Der ehrliche Kompromiss bleibt jedoch bestehen: Kostenlose Tools verlagern die Kosten von Lizenzen auf die Arbeitsstunden qualifizierter Analysten, und jede selbst gehostete Komponente muss von Ihrem Team gepflegt und betrieben werden.
Zwei Anzeichen deuten darauf hin, dass es Zeit für ein Upgrade ist. Erstens verfügen Sie über Telemetriedaten, die Sie nicht schnell genug durchsuchen können, um eine Hypothese zu überprüfen, solange sie noch von Bedeutung ist. Zweitens können Sie nicht messen, ob die Erkennung funktioniert – die Ergebnisse führen nie zu verifizierten Erkennungen oder einer reibungsloseren Übergabe bei der Incident-Response. Beides sind Anzeichen dafür, dass nun nicht mehr das Team, sondern das Tool die Einschränkung darstellt, und eine kommerzielle Lösung – in der Regel die Netzwerk- oder Identitäts-Telemetrie, die Ihnen fehlt – beginnt, ihren Preis wert zu sein.
Keines der großen Frameworks nennt ein bestimmtes Produkt, und genau darum geht es. Ergebnisorientierte Frameworks legen fest, welche Daten Sie erfassen müssen und welche Ergebnisse Sie erzielen müssen – was einen kategorieorientierten Kauf gegenüber einem markenorientierten Kauf begünstigt und dem Einkäufer stichhaltige Argumente für die Budgetverhandlungen an die Hand gibt.
Das NIST CSF 2.0 fasst die Bedrohungssuche unter seiner Funktion „Detect“ – DE.CM (Continuous Monitoring) und DE.AE (Adverse Event Analysis) – zusammen. In der Unterkategorie DE.CM-01 des NIST CSF 2.0 heißt es wörtlich: „Netzwerke und Netzwerkdienste werden überwacht, um potenziell nachteilige Ereignisse zu erkennen.“ Threat hunting sind die operative Umsetzung dieses Ziels; das Rahmenwerk legt bewusst kein bestimmtes Produkt fest.
Die praktischsten Leitlinien sind zudem kostenlos. Der gemeinsame Leitfaden der CISA zur Erkennung und Abwehr von „Living-off-the-Land“-Techniken ist bewusst herstellerneutral gehalten: Er legt fest, welche Protokollquellen und Verhaltensmuster Sicherheitsverantwortliche benötigen, und räumt der zentralisierten Out-of-Band-Protokollierung Priorität ein, damit Verhaltensanalysen und proaktive Suche überhaupt möglich sind. Die dazugehörige Empfehlung AA24-038A dokumentiert, warum die Messlatte so hoch liegt: Volt Typhoon mindestens fünf Jahre lang in kritischer US-Infrastruktur und setzte dabei 79 ATT&CK-Technik-IDs in 13 Taktiken ein, ohne signaturbasierte Tools auszulösen. Die Empfehlung zur Router-Hygiene für 2026 dehnt dieselbe „Telemetry-First“-Logik auf Geräte am Netzwerkrand aus.
Für Diskussionen über die Architektur bleibt die SOC-Transparenz-Triade ein nützliches Referenzmodell – SIEM für Protokolle, EDR für Endpunkte, NDR für das Netzwerk, wobei jedes die blinden Flecken der anderen abdeckt. Da das Modell bereits vor XDR entstand, sollte man es eher als Blickwinkel auf komplementäre Telemetriedaten betrachten und nicht als Einkaufsliste; es lässt sich jedoch gut auf die vier Kategorien in diesem Leitfaden übertragen.
Tabelle 5. Zuordnung von ergebnisorientierten Rahmenwerken und Leitfäden zu threat hunting .
Das „Agentic-SOC“-Konzept – KI-Agenten, die autonom auf die Jagd gehen – ist das meistdiskutierte Thema auf dem Markt, doch die Realität sieht etwas anders aus. KI-gestützte Triage, quellenübergreifende Korrelation und Untersuchungen in natürlicher Sprache führen zu echten Produktivitätssteigerungen, die sich für kleine Teams besonders positiv auswirken. Was die vorliegenden Erkenntnisse jedoch noch nicht belegen, ist die autonome Aufdeckung neuer Angreifer; das Urteil der SANS-Umfrage, wonach dies „nach wie vor begrenzt“ ist, bleibt bestehen, bis sich die Datenlage ändert. Die Formulierung eines Praktikers in den „Cyber Insights 2026“ von SecurityWeek lässt sich kaum übertreffen: „Die Unvorhersehbarkeit und die ungezügelte Neugier eines menschlichen Analysten werden durch nichts zu ersetzen sein.“ Kaufen Sie KI- Fähigkeiten zur Bedrohungserkennung, die diese Neugier verstärken, anstatt zu versprechen, sie überflüssig zu machen.
Der rote Faden, der sich von Volt Typhoon zur Router-Sicherheitsempfehlung für 2026 zieht, ist, dass sich die gefährlichsten Angreifer in legitime Aktivitäten einfügen – von geduldigen, staatlich geförderten Angriffen bis hin zu blitzschnellen ransomware -Gruppen, die mittlerweile mehr Wert auf Tarnung als auf Verschlüsselung legen. Signaturbasierte Tools haben nichts, worauf sie reagieren könnten, daher ist die verhaltensbasierte Erkennung von Bedrohungen im gesamten Netzwerk und über alle Identitätsoberflächen hinweg zum operativ unverzichtbaren Partner für alle endpoint Protokoll-Tools geworden, die Sie bereits einsetzen. Das ist die Richtung, in die sich die gesamte Kategorie entwickelt: weniger Warnmeldungen, mehr validierte Angriffsszenarien.
Vectra AI threat hunting den Ansatz threat hunting einer Kompromittierung threat hunting : Kompetente Angreifer dringen in das System ein, und die gefährlichsten unter ihnen umgehen von vornherein signatur- und alarmbasierte Tools. Anstatt weitere Warnmeldungen hinzuzufügen, Attack Signal Intelligence KI-gestützte Verhaltenserkennung über Netzwerk, Identitäten und cloud hinweg Attack Signal Intelligence , cloud zusammenhängende Angriffsabläufe aufzudecken – und um schnelle, wiederholbare 5-Minuten-Sucheinsätze zu ermöglichen, die auch schlanke Teams nachhaltig durchführen können.
Das Ziel ist das richtige Signal bei Maschinen-Geschwindigkeit, nicht noch mehr Rauschen. Die „Business Value“-Analyse von IDC für das Jahr 2025 bestätigt diesen Ansatz mit einer Abdeckung von mehr als 90 % MITRE ATT&CK und einem ROI von 391 % bei einer Amortisationszeit von sechs Monaten. Entdecken Sie die Vectra AI oder beginnen Sie mit den neuesten Bedrohungsberichten.
Ein SIEM zentralisiert und korreliert Protokolle und löst auf der Grundlage der von Ihnen definierten Regeln Alarm aus. Threat hunting ergänzen dies durch eine proaktive, hypothesengestützte Suche in den gespeicherten Telemetriedaten – endpoint, Netzwerk und Identitäten –, um Angreifer aufzuspüren, die von keiner Regel vorhergesehen wurden. Die meisten Teams betrachten das SIEM als eine von mehreren Informationsquellen für threat hunting, nicht als die gesamte Lösung.
Das hängt von den Fähigkeiten der Analysten und den Telemetriedaten ab, über die Sie bereits verfügen. Ein kompetentes Team kann Open-Source-Tools gut einsetzen; ein schlankes Team profitiert eher von kommerziellen oder verwalteten Lösungen. Beachten Sie den Interessenkonflikt – die meisten Quellen, die argumentieren, Open Source sei unzureichend, verkaufen ein Produkt. Der Markttrend geht in Richtung Hybrid: Der Einsatz interner Tools stieg von 33 % auf 48 %, während die Abhängigkeit von kommerziellen Lösungen von 70 % auf 58 % sank (SANS 2025).
Rechnen Sie mit Preisspannen statt Listenpreisen. Open-Source-Tools verlagern die Kosten von Lizenzen hin zu Arbeitsstunden qualifizierter Analysten. Kommerzielle Plattformen berechnen ihre Preise in der Regel pro endpoint nach dem Volumen der Datenerfassung, und für Managed Hunting fällt zusätzlich eine Servicegebühr an. Planen Sie Ihr Budget für den 60- bis 90-tägigen Zeitraum zur Ermittlung der Verhaltensbasislinie sowie für die Arbeitsstunden der Analysten ein, die für den Betrieb des Tools erforderlich sind – nicht nur für die Lizenz.
Nach dem derzeitigen Stand der Erkenntnisse nicht. Der Einsatz von KI ist nahezu allgegenwärtig – 77 % der Unternehmen haben sie im Bereich Cybersicherheit implementiert (WEF Global Cybersecurity Outlook 2026) –, doch die maßgebliche Studie kommt zu dem Schluss, dass „die Auswirkungen KI-basierter Techniken auf die Aufdeckung von Angreifern nach wie vor begrenzt sind“ (SANS 2025). KI reduziert den Aufwand für die Triage und manuelle Arbeit in großem Maßstab; doch nur die menschliche Neugier entdeckt die neuartigen Angreifer.
Geben Sie sich nicht mit einem Abdeckungsprozentsatz zufrieden. Verlangen Sie Nachweise auf Technikebene – welche Techniken, anhand welcher Daten getestet, mit welcher Erkennungslogik – und überprüfen Sie eine Stichprobe in Ihrer eigenen Umgebung. Richten Sie das Gespräch auf konkrete Techniken aus, wie zum Beispiel T1059 (Befehls- und Skript-Interpreter, 13 Untertechniken). Eine Zahl ohne Nachweis auf Technikebene ist reine Marketingrhetorik.
Kostenlose und Open-Source-Lösungen gibt es in jeder Kategorie – Open-Source-Analysen von Netzwerkmetadaten, endpoint , Threat-Intelligence-Feeds aus der Community und den ATT&CK Navigator von MITRE zur Abdeckungsanalyse. Bewerten Sie diese nach ihren Funktionen, nicht nach der Marke. Der Kompromiss ist real: Kostenlose Tools verlagern die Kosten auf die Arbeitsstunden qualifizierter Analysten und erfordern Disziplin beim Eigenbetrieb.
Schließen Sie zuerst Ihre größte Lücke in der Telemetrie. Wenn Sie bereits ein SIEM- und ein EDR-System einsetzen, liegt der größte Mehrwert in der Regel in der Transparenz hinsichtlich Netzwerk und Identitäten, die Ihnen noch fehlt – also in der Ebene, die „Living-off-the-Land“-Angriffe und den Missbrauch von Edge-Geräten aufdeckt, die von endpoint Endpunkt-Lösungen nicht erkannt werden können.