Adaptive Threat Detection

Aanvallers die geen alert triggeren
worden alsnog gevonden.

Geavanceerde dreigingen ontwijken detectieregels bewust. Managed Threat Hunting zoekt proactief naar wat verborgen blijft. Hypothesegedreven, door mensen met aanvallerservaring.

Neem contact op 24/7 Incident Hotline

Wat is Managed Threat Hunting?

Je hebt detectieregels. Maar geavanceerde aanvallers weten hoe ze die ontwijken. Managed Threat Hunting zoekt proactief naar dreigingen die al in je omgeving aanwezig zijn maar geen alert hebben gegenereerd. Hunters werken hypothesegedreven: ze formuleren aanvalshypotheses op basis van actuele threat intelligence en zoeken gericht naar bewijsmateriaal in jouw data. Elke hunt levert output op: gevonden dreigingen, verbeterde detectieregels of waardevolle omgevingskennis.

De Dienst

Proactief zoeken naar wat verborgen blijft

Niet elke dreiging triggert een alert. Geavanceerde aanvallers opereren bewust onder de radar van detectieregels. Managed Threat Hunting is het proactief zoeken naar dreigingen die al in je omgeving aanwezig zijn maar niet zijn gedetecteerd.

Threat hunters werken hypothesegedreven. Op basis van threat intelligence, dreigingsrapportages en kennis van aanvalstechnieken formuleren ze hypotheses: wat als een aanvaller via deze techniek al toegang heeft? Vervolgens zoeken ze gericht in de data naar bewijs dat die hypothese bevestigt of ontkracht. Dit is geen geautomatiseerd proces. Threat hunting vereist menselijke creativiteit, patroonherkenning en diepe kennis van aanvallersgedrag.

Elke hunt levert waardevolle output op, ook als er geen dreiging wordt gevonden. De hunt kan leiden tot verbeterde detectieregels, nieuwe inzichten in je omgeving of identificatie van security hygiene-problemen die anders onopgemerkt zouden blijven.

Het Probleem

Wat detectieregels niet vangen

Je weet niet of je gehackt bent als de aanvaller geen spoor achterlaat in je detectietools. Dat is precies het doel van geavanceerde aanvallers.

Living-off-the-land aanvallers gebruiken legitieme tools zoals PowerShell en WMI. Detectieregels op bekende malware-signatures missen dit volledig.
Een aanvaller die langzaam en geduldig beweegt genereert individueel geen opvallende signalen. Alleen door patronen over tijd te analyseren wordt het patroon zichtbaar.
De gemiddelde dwell time van een aanvaller is weken tot maanden. Zonder proactief zoeken blijft een compromittatie lang onopgemerkt terwijl schade toeneemt.

Scope

Waar wordt gejaagd

Hypothesegedreven hunting op basis van threat intelligence

Indicator of Compromise (IoC) sweeps bij relevante campagnes

Behavioral hunting: zoeken naar afwijkend gebruikers- en systeemgedrag

TTP-based hunting: zoeken naar specifieke MITRE ATT&CK technieken

Historische data-analyse op endpoints en netwerk

Hunting in clouddata (M365, Azure, AWS)

Active Directory anomalieanalyse

Laterale beweging en privilege escalation sporen

Aanpak

Hoe DEFION Managed Threat Hunting uitvoert

Hypothesevorming

Op basis van actuele threat intelligence, sectorspecifieke dreigingen en jouw risicoprofiel worden hunt-hypotheses geformuleerd.

Dataverkenning

Gerichte queries en analyses op beschikbare databronnen: endpoints, netwerk, cloud en identity. Historische data wordt doorzocht.

Patroonanalyse

Zoeken naar anomalieeen, correlaties en bekende TTP's van aanvalsgroepen actief in jouw sector.

Validatie

Beoordelen of gevonden anomalieeen daadwerkelijke dreigingen zijn of legitiem gedrag. Elke bevinding wordt volledig gedocumenteerd.

Detectie-verbetering

Hunt-bevindingen worden vertaald naar nieuwe detectieregels zodat toekomstige gelijksoortige activiteit wel een alert genereert.

Wat Je Ontvangt

Deliverables

Periodieke hunt-rapporten met hypotheses, methodologie en bevindingen
Nieuwe detectieregels op basis van hunt-bevindingen
IoC-sweeps bij relevante dreigingscampagnes
Verbeterde omgevingskennis en gedragsbaseline
Input voor threat intelligence en dreigingsprofiel
Directe escalatie bij gevalideerde dreiging naar incident response
Kwartaaloverzicht van uitgevoerde hunts en dekkingsverbetering

Voor Wie

Voor welke organisaties is dit relevant?

Managed Threat Hunting is voor organisaties die verder willen gaan dan reactieve detectie en proactief willen zoeken naar verborgen dreigingen.

Organisaties met een mature security-operatie die proactief willen zijn
Bedrijven in sectoren met een hoog dreigingsprofiel zoals financieel, overheid en kritieke infrastructuur
Organisaties die het risico van ongedetecteerde compromittatie willen minimaliseren
Bedrijven die NIS2 eisen rondom proactieve detectie moeten aantonen
IT- en securityteams die de effectiviteit van hun detectie willen valideren

Relevante triggers: een recent incident bij een branchegenoot, een dreigingsmelding over actieve campagnes in jouw sector, of de behoefte om aan te tonen dat je omgeving schoon is na een uitgebreide wijziging.

Veelgestelde Vragen

FAQ

Wat is Managed Threat Hunting?

Managed Threat Hunting is het proactief zoeken naar dreigingen die al in je omgeving aanwezig zijn maar geen alert hebben getriggerd. Threat hunters werken hypothesegedreven: op basis van threat intelligence en aanvallerskennis zoeken ze gericht naar sporen van kwaadaardige activiteit die detectieregels ontwijken.

Hoe vaak wordt er gehunt?

Threat hunting is een doorlopende activiteit, geen eenmalige exercitie. Het team voert wekelijks gerichte hunts uit op basis van actuele dreigingsinformatie. Bij relevante nieuwe dreigingen of IoC-campagnes worden ad-hoc sweeps uitgevoerd.

Wat als er tijdens een hunt iets gevonden wordt?

Bij een gevalideerde dreiging wordt direct het incident response proces geactiveerd. Het security operations team wordt ingelicht en containment wordt gestart. Je wordt onmiddellijk op de hoogte gesteld met volledige context over wat er is gevonden.

Is threat hunting alleen zinvol voor grote organisaties?

Nee. Elke organisatie met een digitaal dreigingsprofiel profiteert van threat hunting. De intensiteit en focus worden afgestemd op jouw omvang en risicoprofiel. Juist kleinere organisaties hebben beperktere detectiecapaciteit en missen daardoor vaker stille compromittaties.

Wat is het verschil tussen threat hunting en threat detection?

Threat detection is reactief: het wacht op alerts die worden gegenereerd door bekende patronen. Threat hunting is proactief: het zoekt actief naar dreigingen die geen alert genereren. Geavanceerde aanvallers ontwijken bewust detectieregels. Hunting vindt wat detection mist.

Managed Threat Detection

Meer informatie →

Managed XDR

Meer informatie →

Managed Threat Intelligence

Meer informatie →