6 Trin til Effektiv Threat Hunting med SentinelOne

Hvad betyder “Threat Hunting”

De 6 Trin til effektiv Threat Hunting

1. – Indhent den rigtige data

2. – Definér normal adfærd

3. – Formulér hypoteser

4. – Undersøg og analyser mistænkelig aktivitet

5. – Afhjælp hurtigt

6. – Automatiser fremadrettet

Næste Skridt

Threat hunting (er også kendt som cyber threat hunting) er en proaktiv disciplin, hvor specialister systematisk leder efter skjulte eller endnu uopdagede angreb i organisationens data – i stedet for passivt at vente på, at traditionelle alarmer går i gang. 

Ved at opstille hypoteser om fjendtlige aktiviteter og teste dem mod log-, netværks- og end-point-data kan man identificere og standse trusler, som ellers ville have forblivet usete.

De 6 trin til målrettet Threat Hunting

Så hvordan omsættes denne proaktive tilgang til praksis?

Med de rette værktøjer og en struktureret metode kan threat hunting blive en del af den daglige drift – også i mindre sikkerhedsteams. Her gennemgår vi seks konkrete trin, der gør jagten på trusler både målrettet og håndterbar.

1. Indhent den rigtige data

Du kan ikke jage uden data. Sørg for, at alle endpoints – pc’er, servere, virtuelle maskiner og cloud-instanser – kører SentinelOne-agenten. Agenten registrerer:

• Netværksforbindelser (IP, domæne, port)
• Filhændelser (oprettelse, ændring, sletning, hash)
• Processer og forældre-relationer
• Brugerlogon og privilegieeskalering
• Kernel- og registry-ændringer

CapMon kan bistå med at definere log-retention, så både compliance-krav og diskplads afstemmes. 30-90 dages historik på platformen dækker akutte behov; arkiver til S3 eller on-prem log-server kan forlænge perioden til et år eller mere.

2. Definér normal adfærd

For at kunne opdage det unormale, skal I først vide, hvad der er normalt.

Angribere skjuler sig ved at ligne almindelig trafik. Før jagten kan give mening, skal teamet vide, hvad der er “normalt”. Det kræver:

1. Baseline for brugere – hvornår logger medarbejdere typisk ind, og fra hvilke geografier?
2. Baseline for systemer – hvilke interne servere taler sammen, og hvilke porte anvendes?
3. Baseline for software – hvilke processer hører hjemme på hvilke maskiner?

SentinelOne’s adfærdsmodel lærer automatisk mønstre, men CapMon hjælper med at finjustere, fx at whiteliste interne Powershell-scripts, så de ikke udløser falsk alarm.

Med baseline på plads bliver afvigelser tydelige:

• Ny proces, der downloader eksekverbar kode.
• Uventet DNS look-up til et nyligt registreret domæne.
• Gentagne logons fra en placering uden for Norden.

Et praktisk eksempel: SentinelOne kan detektere, hvis der pludselig sker gentagne login-forsøg fra et land, som ikke normalt ses i jeres logfil. Det kunne indikere et brute-force angreb eller en kompromitteret konto. I sådan et tilfælde vil SentinelOne automatisk udløse en alarm, da mønstret afviger fra jeres baseline.

Et andet eksempel kan være, hvis et program begynder at køre en usigneret PowerShell-kode på en maskine, hvor det aldrig er set før – det er også en unormal adfærd, som typisk kræver nærmere undersøgelse.

Disse anomalier bliver fanget hurtigere takket være baseline-viden, hvilket gør Threat Hunting mere målrettet

3. Formulér hypoteser

Med de rette data og en baseline på plads er næste skridt at begynde selve jagten ved at formulere hypoteser.

En hypotese i Threat Hunting er en kvalificeret antagelse om, hvad en mulig skjult trussel kunne være, og hvordan den kunne manifestere sig i jeres miljø

Eksempler på hypoteser:

• “Noget i vores miljø forsøger at udnytte usigneret Powershell til lateral bevægelse.”
• “Der foregår datadump fra SQL til en usædvanlig IP om natten.”
• “En klient er kompromitteret og laver brute-force RDP mod andre maskiner.”

I SentinelOne konsollen søges på tværs af telemetri: source.process.name: powershell.exe AND process.integrity:Unsigned AND operation:NetworkConnect AND dst.port: 443.

SentinelOne gør det nemt at teste sådanne hypoteser med Deep Visibility funktionen. I kan foretage avancerede søgninger på tværs af al jeres indsamlede data for at se, om der er tegn, der understøtter hypotesen. Lad os sige, at en hypotese er: “En angriber kunne have injiceret ondsindet kode i en kørende proces på en af vores Windows-servere.” Med SentinelOne kan I søge efter mønstre, der passer til dette – f.eks. alle tilfælde, hvor en proces har modificeret en anden proces i hukommelsen (code injection). Platformen vil da vise alle de relaterede hændelser, hvor dette er sket, og via Storyline kan I se præcis hvilke processer der var involveret

Biblioteket af forhåndsbyggede MITRE-forespørgsler dækker de mest brugte teknikker, men CapMon leverer også skræddersyede queries, fx til danske domæne-typer eller særlige brancheapplikationer.

4. Undersøg og analyser mistænkelig aktivitet

Når jeres hypotese er klar, starter det egentlige detektivarbejde. I bruger SentinelOnes Deep Visibility til at køre forespørgsler, der søger efter den adfærd, I mistænker. Så snart en søgning giver træffere, klikker analytikeren ind i Storyline-grafen, som automatisk lægger hændelserne i kronologisk rækkefølge:

1. outlook.exe åbnes af brugeren
2. Programmet henter et Word-dokument
3. winword.exe kører en makro, der downloader payload.ps1
4. PowerShell injicerer kode i explorer.exe og etablerer en bagdørsforbindelse

På få sekunder er hele årsagskæden synlig: hvem startede hvad, og hvordan den mistænkelige aktivitet eskalerede.

Med dette overblik kan I hurtigt afgøre, om der er tale om en reel trussel. Skal angrebet stoppes straks, åbner I Remote Shell direkte fra konsollen og:

• kører netstat -ano for at se aktive forbindelser
• tager et memory-dump til senere analyse
• sletter eller standser ondsindede processer

Alt foregår uden VPN eller fysisk adgang til maskinen, så tiden fra opdagelse til handling måles i minutter.

Når de vigtigste artefakter er sikret, vurderer I omfanget: Er andre endpoints ramt? Har brugeren samme fil liggende på flere enheder? Ved at søge på fil-hash eller Storyline-ID kan I straks se, om angrebet har spredt sig. Hvis ja, mærk alle berørte enheder og gå videre til næste trin: hurtig afhjælpning. Har I derimod bekræftet, at hændelsen er ufarlig, kan fundet markeres som false positive og bruges til at finjustere fremtidige regler.

Dermed fungerer trin 4 som broen mellem hypotese og handling: I får fakta på bordet, prioriterer risikoen og beslutter, om sagen skal isoleres, rulles tilbage eller blot registreres til læring.

5. Afhjælp hurtigt

 Når undersøgelsen bekræfter en aktiv trussel, gælder det om straks at afbryde angrebets livline og gendanne normal drift. SentinelOne stiller tre indbyggede værktøjer til rådighed:

• Kill process – stopper kørende malware.
• Quarantine device – blokerer al ind- og udgående netværkstrafik; kun konsollen har forbindelse.
• Rollback – gendanner systemet til tilstand før angrebet: filer, registreringsdatabase og skyggekopier genskabes.

For at minimere skader anbefales denne rækkefølge:

1. Isolér først (Quarantine Device) for at stoppe yderligere spredning.
2. Analysér de indsamlede artefakter via Remote Shell eller forensics-værktøjer.
3. Vælg endelig handling – enten Kill Process hvis omfanget er begrænset, eller Rollback hvis data er kompromitteret.

Hos CapMon kan vi bistå med beslutninger ud fra virksomhedens tolerancer for nedetid og forretningskritiske systemer.

Har servere eksempelvis realtidskrav, kan et hurtigt proces-kill være tilstrækkeligt, mens rollback planlægges til et vedligeholdelsesvindue. Al aktivitet logges automatisk i SentinelOne, så I efterfølgende kan dokumentere hændelsesforløb og respons over for ledelse, revision og eventuelle compliance-krav.

Når systemet er renset, evalueres årsagen: Hvilken svaghed blev udnyttet? Skal regler justeres, patches udrulles eller brugertilgange ændres?

Svaret herpå danner input til næste trin, hvor erfaringen omsættes til automatiserede regler, så samme angreb aldrig får fodfæste igen.

6. Automatisér fremadrettet

Hver gang en trussel bekræftes, får I ny indsigt, der bør omsættes til faste regler. SentinelOnes Storyline Auto-Response (STAR) gør arbejdet enkelt:

Hvis den udløses, kan systemet:

• Oprette ticket i ServiceNow
  • Opretter sag til IT-drift eller SOC uden menneskelig indtastning
• Sende Pus-notifikation til Microsoft Teams / Slack
  • Giver hurtig besked til vigtige Teams i virksomheden
• Isolere endpoint automatisk
  • Afbryder endpointets netværkstilgang, så angrebet standset med det samme

Eksempel: Har jeres threat-hunt vist, at usigneret PowerShell ofte markerer et angreb, oprettes en STAR-regel, der isolerer maskinen straks det mønster genkendes og starter en rollback uden at vente på manuel godkendelse.

På den måde bliver manuelt jagt-arbejde konverteret til automatiseret beskyttelse.

Hos CapMon kan vi bistå med at udvikle playbooks, så fx unsigneret Powershell ikke bare udløser en alert, men isolerer maskinen og starter rollback, inden analytikeren overhovedet logger ind.

Næste skridt

Når de seks trin er på plads, kører arbejdet i en løbende cyklus:

1. Indsamling og baseline kører automatisk hele døgnet.
2. Trusselsjagten aktiveres, når det er nødvendigt – dagligt, ugentligt eller spontant ved mistanke.
3. Resultaterne omsættes til nye regler, som fremover håndteres af automatikken og sparer tid ved næste hændelse.

Vil du vide, hvordan sentinel one kan understøtte en effektiv trusselsjagt i netop dit miljø? Kontakt CapMon.

Med en samlet platform, en gennemprøvet tilgang og dansk ekspertbistand integrerer vi Threat Hunting sømløst i din organisation.