/tags/threat-hunting/Recent content in Threat-Hunting on Suspicious BytesHugonl-NLSat, 30 May 2026 00:00:00 +0000/posts/detecting-lateral-movement/Sat, 30 May 2026 00:00:00 +0000/posts/detecting-lateral-movement/<p>Zodra een aanvaller een voet aan de grond heeft, begint het interessante deel: bewegen van de eerste host naar datgene waarvoor ze eigenlijk kwamen. Die east-west-beweging laat sporen na als je weet welke events je moet koppelen.</p> <h2 id="signalen-om-te-koppelen">Signalen om te koppelen</h2> <p>Lateral movement is zelden één rokend-pistool-event. Het komt naar boven uit correlatie:</p> <ol> <li>Netwerk-logon-events (<code>4624</code> type 3) vanaf ongebruikelijke bronnen</li> <li>Aanmaken van een service of geplande taak op de bestemming</li> <li>Kort daarna een remote procesaanmaak</li> </ol> <blockquote> <p>Correleer over hosts heen, niet alleen binnen één host. Eén <code>4624</code> is ruis; een reeks ervan die een account door het netwerk volgt, is een verhaal.</p>/posts/starting-with-threathunting/Sat, 27 Sep 2025 00:00:00 +0000/posts/starting-with-threathunting/<h2 id="begin-vandaag-met-hunten">Begin Vandaag met Hunten!</h2> <p>Threat hunting vereist geen enterprise tools. Je kunt simpelweg beginnen met wat je al hebt.</p> <h3 id="minimale-vereisten">Minimale Vereisten</h3> <p>Begin met dingen die je waarschijnlijk al hebt. Werk van daaruit, en denk daarna na over verbeteren en groeien.</p> <ul> <li><strong>Centralized logging</strong> (Sysmon, firewall, proxy logs)</li> <li><strong>Query capability</strong> (ELK, Splunk, of zelfs grep)</li> <li><strong>Baseline knowledge</strong> van je netwerk</li> <li><strong>2-4 uur per week</strong> aan toegewijde hunting-tijd</li> </ul> <p>Baselining is het lastigste onderdeel voor beginners, dus begin klein. Kies een ding dat je als &ldquo;normaal&rdquo; kunt omschrijven (welke hosts met internet praten, welke accounts als admin draaien, wat er bij het opstarten draait) en schrijf het op. Die ene baseline wordt de maatstaf voor je eerste hunts.</p>