Wat is Threat Hunting?
Threat Hunting is het proactief en doelgericht zoeken naar tekenen van cyberdreigingen in systemen, netwerken of endpoints — voordat deze automatisch zijn gedetecteerd of schade hebben veroorzaakt.
Het is een menselijke en analytische activiteit waarbij gebruik wordt gemaakt van logdata, gedragsanalyse en Threat Intelligence om aanvallers of afwijkend gedrag vroegtijdig te vinden.
🧠 Waarom is Threat Hunting belangrijk?
- Detecteert geavanceerde aanvallen die traditionele tools missen
- Voorkomt langdurige aanwezigheid van een aanvaller (bv. APT)
- Verbetert de effectiviteit van SIEM, EDR, XDR en SOC
- Ondersteunt continue verbetering van Detection & Response
- Past bij frameworks zoals MITRE ATT&CK en Zero Trust
🔍 Typische use cases
| Hunt-doel | Voorbeeld |
|---|---|
| Onbekende malware | Zoek naar ongebruikelijke processen of hashes buiten Antivirus-detectie |
| Laterale beweging | Analyseren van interne RDP- of SMB-verbindingen |
| Credential misuse | Detecteren van privilege-escalatie of sessies met gelekte wachtwoorden |
| Persistence | Zoeken naar verborgen scheduled tasks, services of registry-modificaties |
| C2-communicatie | Analyse van DNS-tunneling of ongebruikelijke outbound-verkeer |
⚙️ Hoe werkt Threat Hunting?
-
Hypothese formuleren Bijv. “Er is mogelijk persistence bereikt via nieuwe scheduled tasks”
-
Data verzamelen Gebruik van logs uit SIEM, EDR, Firewall, DNS, Windows Event Logs, etc.
-
Analyse uitvoeren Handmatig of via queries, scripts, threat intelligence en MITRE ATT&CK-mapping
-
Bevindingen valideren Correlatie met andere bronnen, gedrag of context
-
Detectieregels verbeteren Bevindingen omzetten in nieuwe SIEM-regels of SOAR-playbooks
🛠 Voorbeelden van tools
- SIEM (Splunk, Microsoft Sentinel, QRadar)
- EDR (CrowdStrike, SentinelOne, Defender for Endpoint)
- YARA-rules
- Sysmon / Winlogbeat / Zeek
- MITRE ATT&CK Navigator
- Velociraptor, Osquery
🎯 Proactief vs. reactief
| Threat Hunting | Incident Response |
|---|---|
| Proactief, vóór detectie | Reactief, ná een detectie of incident |
| Gericht op onbekende dreigingen | Gericht op bekende aanvalssporen |
| Data-gedreven en hypothese-gestuurd | Proces-gestuurd en gericht op herstel |
📌 Samengevat
Threat Hunting is het actief zoeken naar verborgen cyberdreigingen, gebaseerd op hypotheses, gedrag en data-analyse — en vormt een essentieel onderdeel van een volwassen SOC of Cybersecuritystrategie.