Threat-Hunting ist ein fester Bestandteil unserer Incident-Response- und Detection-Strategie. Neben reaktiven Analysen setzen wir dabei regelmäßig auf proaktive Suchen nach Kompromittierungsindikatoren in Kundenumgebungen.
In einigen Umgebungen ist es allerdings nicht möglich oder nicht gewünscht, zusätzliche Security-Agents flächendeckend auszurollen oder dedizierte Netzwerkfreigaben für externe Systeme zu schaffen. In einem aktuellen Projekt standen wir vor der Herausforderung, ein umfassendes Threat-Hunting ohne zusätzliche Agents und mit stark eingeschränkter Netzwerkanbindung durchzuführen.
Die Lösung: Threat-Hunting auf Basis von
Statt einen weiteren Agent einzuführen, haben wir unseren bestehenden Threat-Hunting-Scanner so adaptiert, dass er vollständig über Wazuh gesteuert und verteilt werden kann.
Wazuh als Steuerungs- und Orchestrierungsplattform
Zentraler Baustein ist eine dedizierte Wazuh-Gruppe, die ausschließlich für Threat-Hunting genutzt wird. Systeme, die dieser Gruppe temporär zugewiesen werden, erhalten über die Agenten-Konfiguration die Anweisung, automatisch alle notwendigen Komponenten und Konfigurationen für den Scan herunterzuladen und periodisch auszuführen.
Die Scans sind zustandsbehaftet aufgebaut: Unterbrechungen wie Neustarts werden erkannt, der Scan setzt automatisch an der letzten Stelle fort. Damit eignet sich der Ansatz auch für große, heterogene Umgebungen. Sind alle Aufgaben abgeschlossen, verfällt der Scan in einen Leerlaufzustand und das System kann wieder aus der Gruppe entfernt werden.
Technischer Ansatz
Der Scanner selbst besteht aus zwei Modulen und kombiniert konfigurations- und verhaltensbasierte Analysen mit klassischer Malware-Erkennung.
- Artefakt- und Systemanalyse mit OSQuery
Abfrage von Systemzuständen, Konfigurationen, Logs, Prozessen und Netzwerkverbindungen. Die Bewertung erfolgt anhand eines von uns entwickelten Regelwerks zur Erkennung verdächtiger Abweichungen. - Schadsoftware-Scan auf Basis von YARA-Regeln
Vollständiger Scan von Dateien und Prozessen. Die eingesetzten Signaturen stammen sowohl aus öffentlichen als auch aus eigenen Regelwerken.
Die vorgefilterten Ergebnisse werden zentral ins SIEM übertragen und dort in einem separaten Index abgelegt. Ein eigenes Dashboard ermöglicht die Überwachung des Scan-Fortschritts und eine erste Einordnung der Findings.
Operativer Ablauf
Für das Threat-Hunting werden alle relevanten Systeme temporär der Wazuh-Gruppe hinzugefügt. Aufgrund der Systemanzahl und Scan-Tiefe dauert die vollständige Erfassung in der Regel mehrere Tage bis über eine Woche. Nach Abschluss werden die Systeme wieder aus der Gruppe entfernt.
Die Auswertung erfolgt manuell über die Wazuh-Oberfläche. Jedes Finding, egal ob Datei, Logeintrag, Konfiguration oder Netzwerkverbindung, wird als eigenes Ereignis verarbeitet.
Thematisch sortierte Teilscans und vorbereitete Filter erleichtern die Analyse und das Aussortieren von False Positives, wobei sich diese Filter bei wiederkehrenden Scans konsistent weiterverwenden und schrittweise verfeinern lassen.
Bei konkreten Hinweisen auf eine Kompromittierung wird das betroffene System weitergehend untersucht oder direkt in einen Incident-Response-Prozess überführt.
Fazit
Threat-Hunting funktioniert auch ohne zusätzliche Agenten und ohne tiefgreifende Eingriffe in bestehende Infrastrukturen. Durch die konsequente Nutzung von Wazuh als zentrale Plattform lassen sich komplexe, wiederholbare Threat-Hunting-Prozesse etablieren. Und zwar skalierbar, transparent und mit minimalem Footprint auf den Zielsystemen. Darüber hinaus ermöglicht die Herangehensweise, zustands- und artefaktbasierte Kompromittierungsindikatoren außerhalb klassischer Event-Logik als auswertbare Wazuh-Ereignisse abzubilden.
Gerade in restriktiven oder stark regulierten Umgebungen ist dieser Ansatz eine praxiserprobte Alternative zu klassischen EDR-Rollouts.
Weitere Informationen
Threat-Hunting ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Je besser er in bestehende Security-Strukturen integriert ist, desto größer ist der Mehrwert für die gesamte Organisation. Wenn Sie mehr darüber erfahren möchten, wie sich Threat-Hunting mit Wazuh in Ihrer Umgebung umsetzen lässt, sprechen Sie uns gerne an.
Professionelle Beratung für Ihr Threat-Hunting mit Wazuh
Wir helfen Ihnen, Wazuh optimal in Ihrer Umgebung zu implementieren und Threat-Hunting-Prozesse zu automatisieren.
