Aan de slag met Threat Hunting met een minimale aanpak

· Threat Hunting · 3 min

Aan de slag met Threat Hunting met een minimale aanpak

Begin Vandaag met Hunten!

Threat hunting vereist geen enterprise tools. Je kunt simpelweg beginnen met wat je al hebt.

Minimale Vereisten

Begin met dingen die je waarschijnlijk al hebt. Werk van daaruit, en denk daarna na over verbeteren en groeien.

  • Centralized logging (Sysmon, firewall, proxy logs)
  • Query capability (ELK, Splunk, of zelfs grep)
  • Baseline knowledge van je netwerk
  • 2-4 uur per week aan toegewijde hunting-tijd

Baselining is het lastigste onderdeel voor beginners, dus begin klein. Kies een ding dat je als “normaal” kunt omschrijven (welke hosts met internet praten, welke accounts als admin draaien, wat er bij het opstarten draait) en schrijf het op. Die ene baseline wordt de maatstaf voor je eerste hunts.

Eenvoudig Framework

Bedenk een eenvoudig framework dat werkt voor jou en je organisatie. Breid het framework uit naarmate je de threat hunting-operatie uitbreidt.

  1. Hypothesis - Wat zouden aanvallers doen? (bijv. “Zijn er ongebruikelijke PowerShell executies?”)
  2. Hunt - Doorzoek logs op anomalieën
  3. Analyze - Onderzoek bevindingen
  4. Document - Leg alles vast

Om hypotheses concreet te maken, koppel je ze aan MITRE ATT&CK techniques. “Credential dumping” wordt T1003, wat je precies vertelt naar welke data sources en gedragingen je moet kijken. Wanneer je klaar bent om verder te groeien dan deze loop, bouwen gevestigde modellen zoals TaHiTI of PEAK voort op datzelfde hypothesis-driven fundament.

Voorbeeld Hunting Queries

Een paar hunts om mee te beginnen.

  • Rare process-network combinaties
  • Off-hours admin activity
  • Nieuwe scheduled tasks
  • Unsigned executables in temp-folders

Een concreet startpunt met Sysmon en grep, om executables te vinden die vanuit temp-directories worden gestart:

grep -i "Image:.*\\\\Temp\\\\" sysmon.log | grep "EventID: 1"

Het is grof, maar het werkt met wat je al hebt. Verfijn van daaruit.

Rapportage Template

Het bijhouden van rapportages is belangrijk voor toekomstige referentie. Werk met een template voor structuur.

Template:

Hunt ID: HNT-YYYY-NNN Hypothesis: [Wat je test] Findings: [Wat je zag] Action: [False positives, escalaties] IOCs: [Hashes / IPs / domains] Improvements: [Nieuwe detections of baseline-updates]

Uitgewerkt voorbeeld:

Hunt ID: HNT-2025-001 Hypothesis: Credential dumping via LSASS access Findings: 3 verdachte processen geïdentificeerd Action: 2 false positives, 1 geëscaleerd naar IR (incident response) IOCs: a1b2c3…, 10.0.0.5 Improvements: Alerting toevoegen voor mimikatz-patterns

Gebruik de Intel

Gebruik de verzamelde intel! Maak rules, update detection systems, en deel je bevindingen met andere teams of de community.

  • Feed detections - Zet ontdekkingen om in Sigma rules zodat één bevinding werkt over ELK, Splunk, en meer
  • Update baselines - Verfijn normaal gedrag
  • Share IOCs - Verspreid naar team/community
  • Track metrics - Meet verbeteringen in detectie

Sigma is het vermelden waard omdat het de loop sluit: een hunt-bevinding wordt een portable detection rule in plaats van een eenmalige query die je volgende week alweer vergeten bent.

Begin klein. Hunt wekelijks. Itereer op basis van bevindingen. Je eerste hunt begint met je volgende log query.