Proaktive Bedrohungssuche mit KQL und MITRE ATT&CK: 5 hochwertige Sentinel-Abfragen für Ihr SOC
Warum reaktive Sicherheit nicht mehr ausreicht
Moderne Cyberangriffe verlaufen selten laut und auffällig. Angreifer bewegen sich heute oft wochenlang unbemerkt in Unternehmensnetzwerken, bevor sie zuschlagen. Sie nutzen legitime Systemwerkzeuge, stehlen Zugangsdaten und bewegen sich seitwärts durch die Infrastruktur – alles unterhalb der Erkennungsschwelle klassischer Sicherheitsregeln.
Für Schweizer KMU und Unternehmen, die Microsoft-Technologien einsetzen, stellt sich daher eine entscheidende Frage: Warten wir auf Alarme, oder suchen wir aktiv nach Bedrohungen, die noch keine Alarme ausgelöst haben?
Proaktive Bedrohungssuche – auf Englisch «Threat Hunting» – ist die Antwort auf diese Herausforderung. Sie geht über automatisierte Erkennungsregeln hinaus und setzt auf hypothesengesteuerte Analyse: Sicherheitsteams formulieren Annahmen über mögliches Angreiferverhalten und überprüfen diese systematisch mit Daten. Das Werkzeug dafür in Microsoft Sentinel ist KQL – die Kusto Query Language.
Was ist KQL und warum ist es das Herzstück von Microsoft Sentinel?
KQL ist die Abfragesprache für Azure Log Analytics und Microsoft Sentinel. Sie ähnelt SQL, ist aber für zeitbasierte Log-Daten optimiert. Das Grundprinzip ist einfach: Eine Tabelle wird durch eine Pipe-Kette von Operatoren gefiltert, transformiert und aggregiert.
// Einfaches Beispiel: Alle fehlgeschlagenen Anmeldungen der letzten 24 Stunden
SigninLogs
| where TimeGenerated > ago(24h)
| where ResultType != 0
| summarize count() by UserPrincipalName, Location
| order by count_ desc
Die Stärke von KQL liegt in der Kombination von Einfachheit und Ausdruckskraft. Mit wenigen Zeilen lassen sich komplexe Korrelationen über Millionen von Log-Einträgen hinweg durchführen – in Sekunden. Für Threat Hunting bedeutet das: Hypothesen können schnell formuliert, getestet und verfeinert werden.
Das MITRE ATT&CK Framework: Die gemeinsame Sprache der Angreifer
Um effektiv nach Bedrohungen zu suchen, muss man verstehen, wie Angreifer denken und vorgehen. Das MITRE ATT&CK Framework ist eine öffentlich zugängliche Wissensdatenbank, die reale Angriffstechniken und -taktiken systematisch katalogisiert. Es ist heute der De-facto-Standard für die Beschreibung von Angreiferverhalten.
Das Framework ist in 14 Taktiken (das «Warum» eines Angriffs) und über 200 Techniken (das «Wie») gegliedert:
| Taktik | Beschreibung | Beispiel-Technik |
|---|---|---|
| Initial Access | Erstzugang zum Zielsystem | T1078 – Valid Accounts |
| Execution | Ausführung von Schadcode | T1059 – Command and Scripting Interpreter |
| Persistence | Aufrechterhaltung des Zugangs | T1098 – Account Manipulation |
| Privilege Escalation | Erlangen höherer Rechte | T1548 – Abuse Elevation Control Mechanism |
| Defense Evasion | Umgehung von Sicherheitsmassnahmen | T1218 – Signed Binary Proxy Execution |
| Credential Access | Diebstahl von Zugangsdaten | T1110 – Brute Force |
| Discovery | Erkundung der Umgebung | T1526 – Cloud Service Discovery |
| Lateral Movement | Seitliche Bewegung im Netzwerk | T1021 – Remote Services |
| Collection | Sammlung von Zieldaten | T1114 – Email Collection |
| Exfiltration | Datenabfluss | T1041 – Exfiltration Over C2 Channel |
| Command and Control | Steuerung kompromittierter Systeme | T1071 – Application Layer Protocol |
Die Verknüpfung von KQL-Abfragen mit MITRE ATT&CK-Techniken hat einen entscheidenden Vorteil: Sicherheitsteams können ihre Erkennungsabdeckung messen, Lücken identifizieren und Prioritäten setzen. Microsoft Sentinel visualisiert diese Abdeckung direkt in der MITRE ATT&CK-Matrix.
5 hochwertige KQL-Hunting-Abfragen für Microsoft Sentinel
Die folgenden fünf Abfragen basieren auf den Empfehlungen des Microsoft Sentinel-Teams (Microsoft Tech Community, Februar 2026) und wurden für den Einsatz in Schweizer Unternehmensumgebungen angepasst. Jede Abfrage ist explizit einem MITRE ATT&CK-Taktik und einer Technik zugeordnet.
1. Seltene Anmeldestandorte bei privilegierten Konten
MITRE ATT&CK: T1078 – Valid Accounts / T1078.004 – Cloud Accounts | Taktik: Initial Access
Privilegierte Identitäten sind das primäre Ziel von Angreifern. Eine erfolgreiche Anmeldung aus einer ungewöhnlichen geografischen Region kann auf kompromittierte Zugangsdaten oder Token-Diebstahl hinweisen.
// Seltene Anmeldestandorte für privilegierte Konten
SigninLogs
| where ResultType == 0
| where UserPrincipalName has_any ("admin", "svc", "service", "global")
| summarize count() by UserPrincipalName, Location
| join kind=leftanti (
SigninLogs
| where TimeGenerated < ago(30d)
| summarize count() by UserPrincipalName, Location
) on UserPrincipalName, Location
Diese Abfrage findet Anmeldungen von privilegierten Konten an Standorten, die in den letzten 30 Tagen nicht verwendet wurden. Was als nächstes zu untersuchen ist: Conditional Access-Richtlinien, MFA-Status, Korrelation mit Impossible-Travel-Alerts.
2. Mehrfach fehlgeschlagene Anmeldungen gefolgt von Erfolg
MITRE ATT&CK: T1110 – Brute Force / T1110.003 – Password Spraying | Taktik: Credential Access
Dieses Muster ist ein klassischer Indikator für Password Spraying oder Brute-Force-Angriffe. Angreifer testen systematisch Passwörter, bis eine Kombination funktioniert.
// Brute Force: Fehlgeschlagene Anmeldungen gefolgt von Erfolg
SigninLogs
| summarize
Failed=countif(ResultType != 0),
Success=countif(ResultType == 0)
by UserPrincipalName, bin(TimeGenerated, 1h)
| where Failed > 5 and Success > 0
Was als nächstes zu untersuchen ist: IP-Reputation und ASN, ob Fehlversuche mehrere Benutzer betreffen (Spray-Verhalten), nachfolgende Aktivitäten in Mailbox, SharePoint oder Azure.
3. Ungewöhnliche Prozessausführung auf Endpunkten (LOLBins)
MITRE ATT&CK: T1059 – Command and Scripting Interpreter / T1218 – Signed Binary Proxy Execution | Taktik: Execution
Angreifer nutzen häufig legitime Windows-Werkzeuge («Living off the Land Binaries», kurz LOLBins), um Sicherheitslösungen zu umgehen. PowerShell, WMIC und Rundll32 sind klassische Beispiele.
// LOLBin-Erkennung: Verdächtige Prozessausführung
DeviceProcessEvents
| where FileName in~ ("powershell.exe", "wmic.exe", "rundll32.exe", "mshta.exe", "certutil.exe")
| where InitiatingProcessFileName !in~ ("explorer.exe", "services.exe", "svchost.exe")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine,
InitiatingProcessFileName, InitiatingProcessCommandLine
| order by TimeGenerated desc
Was als nächstes zu untersuchen ist: Kodierte oder verschleierte Befehlszeilen (Base64-Encoding), Legitimität des übergeordneten Prozesses, Benutzerkontext und Geräte-Risikoscore.
4. Neu erstellte oder geänderte Service Principals
MITRE ATT&CK: T1098 – Account Manipulation / T1098.001 – Additional Cloud Credentials | Taktik: Persistence
Service Principals werden häufig für Persistenz oder Privilege Escalation in Azure-Umgebungen missbraucht. Angreifer erstellen neue Service Principals oder modifizieren bestehende, um dauerhaften Zugang zu sichern.
// Neue oder geänderte Service Principals
AuditLogs
| where OperationName in ("Add service principal", "Update service principal",
"Add app role assignment to service principal")
| project TimeGenerated, InitiatedBy, TargetResources, OperationName
| extend InitiatedByUser = tostring(InitiatedBy.user.userPrincipalName)
| order by TimeGenerated desc
Was als nächstes zu untersuchen ist: Zugewiesene API-Berechtigungen oder Verzeichnisrollen, Token-Nutzung nach der Erstellung, Korrelation mit unbekannten IP-Adressen.
5. Seltene Azure-Ressourcenzugriffsmuster
MITRE ATT&CK: T1526 – Cloud Service Discovery / T1069.003 – Permission Groups Discovery: Cloud | Taktik: Discovery
Angreifer, die eine Umgebung erkunden, greifen häufig auf Abonnements oder Ressourcengruppen zu, die sie zuvor nie verwendet haben. Diese Abfrage erkennt solche anomalen Zugriffsmuster.
// Seltene Azure-Ressourcenzugriffe (neu in den letzten 24h)
AzureActivity
| where TimeGenerated > ago(24h)
| summarize count() by Caller, ResourceGroup
| join kind=leftanti (
AzureActivity
| where TimeGenerated between (ago(30d) .. ago(24h))
| summarize count() by Caller, ResourceGroup
) on Caller, ResourceGroup
| order by count_ desc
Was als nächstes zu untersuchen ist: Rollenzuweisungen für den Aufrufer, ob der Zugriff der Funktion entspricht, nachfolgende Konfigurationsänderungen.
Zusammenfassung: MITRE ATT&CK-Mapping der 5 Hunting-Abfragen
| Sentinel Hunt | MITRE-Taktik | MITRE-Technik |
|---|---|---|
| Seltene Anmeldestandorte (privilegiert) | Initial Access | T1078 – Valid Accounts |
| Fehlgeschlagene dann erfolgreiche Anmeldung | Credential Access | T1110 – Brute Force |
| LOLBin-Ausführung auf Endpunkten | Execution | T1059 / T1218 |
| Service Principal-Änderungen | Persistence | T1098.001 |
| Seltene Azure-Ressourcenzugriffe | Discovery | T1526 / T1069.003 |
Von der Hunting-Abfrage zur Analytics Rule
Eine der wertvollsten Eigenschaften von Microsoft Sentinel ist die nahtlose Integration von Threat Hunting und automatisierter Erkennung. Wenn eine Hunting-Abfrage konsistent verdächtige Aktivitäten aufdeckt, sollte sie in eine Analytics Rule umgewandelt werden:
- Abfrage optimieren: Zeitfenster anpassen, um automatische Ausführung zu ermöglichen (z.B. alle 5 Minuten über die letzten 24 Stunden).
- Entity Mapping definieren: Benutzer, IP-Adresse, Host als Entitäten zuordnen, damit Sentinel Vorfälle korrekt korreliert.
- Schweregrad und Playbook festlegen: Kritische Abfragen (z.B. LOLBin-Ausführung) sollten automatisch ein Response-Playbook auslösen.
- False-Positive-Rate überwachen: Neue Regeln sollten zunächst im «Alert»-Modus ohne automatische Aktionen laufen, bis die False-Positive-Rate bekannt ist.
Dieser Prozess – von der Hypothese über die Hunting-Abfrage zur Analytics Rule – ist der Kern eines reifen SOC-Betriebs und erhöht die Erkennungsabdeckung kontinuierlich.
Best Practices für effektives Threat Hunting mit KQL
Effektives Threat Hunting folgt einigen bewährten Prinzipien, die den Unterschied zwischen zufälligem Suchen und systematischer Bedrohungssuche ausmachen:
Hypothesengesteuert vorgehen: Beginnen Sie mit einer konkreten Annahme – «Ich vermute, dass ein Service-Account kompromittiert wurde» – statt blind in Logs zu suchen. Das MITRE ATT&CK Framework liefert dabei den Rahmen für realistische Hypothesen.
Zeitfilter konsequent einsetzen: Operatoren wie ago(24h) oder ago(7d) halten Abfragen schnell und verhindern, dass unnötig grosse Datenmengen durchsucht werden.
Tabellen kombinieren: join und union ermöglichen die Korrelation über mehrere Log-Quellen hinweg – z.B. SigninLogs mit AuditLogs oder DeviceProcessEvents mit NetworkCommunicationEvents.
let-Statements für Lesbarkeit: Komplexe Abfragen werden mit let-Variablen modular und wartbar. Das erleichtert auch die Dokumentation und Weitergabe an Kollegen.
Ergebnisse dokumentieren: Jede Hunting-Session sollte dokumentiert werden – was wurde gesucht, was wurde gefunden, welche Massnahmen wurden ergriffen. Diese Dokumentation ist auch für Compliance-Zwecke (nDSG, ISO 27001) wertvoll.
Wie Creative Web Studio GmbH Ihr Unternehmen bei der Bedrohungssuche unterstützt
Als zertifizierter Microsoft Partner und IT-Spezialist für KMU in der Zentralschweiz bietet Creative Web Studio GmbH umfassende Unterstützung beim Aufbau und Betrieb einer proaktiven Sicherheitsstrategie mit Microsoft Sentinel.
Microsoft Sentinel Implementierung: Wir konzipieren und implementieren Microsoft Sentinel für Ihre Umgebung – von der Datenquellenanbindung über die Konfiguration von Analytics Rules bis hin zur Integration mit Microsoft Defender for Endpoint und Microsoft Entra ID.
Threat Hunting as a Service: Unser Sicherheitsteam führt regelmässige, hypothesengesteuerte Threat-Hunting-Sessions in Ihrer Umgebung durch und dokumentiert die Ergebnisse transparent. Identifizierte Hunting-Abfragen werden direkt in Analytics Rules überführt.
KQL-Schulungen für Ihr Team: Wir schulen Ihre IT-Mitarbeitenden in KQL und Threat-Hunting-Methodik – damit Ihr Team die Werkzeuge versteht und selbstständig einsetzen kann. Unsere Schulungen orientieren sich am MITRE ATT&CK Framework und verwenden praxisnahe Szenarien aus Schweizer Unternehmensumgebungen.
MITRE ATT&CK Coverage Assessment: Wir analysieren Ihre aktuelle Erkennungsabdeckung anhand des MITRE ATT&CK Frameworks und identifizieren Lücken, die durch gezielte Hunting-Abfragen oder neue Analytics Rules geschlossen werden können.
Fazit: Proaktiv statt reaktiv
Die Frage ist nicht mehr, ob ein Angriff stattfindet, sondern wann – und ob Sie ihn entdecken, bevor er Schaden anrichtet. Proaktives Threat Hunting mit KQL und dem MITRE ATT&CK Framework gibt Sicherheitsteams die Werkzeuge, um Angreifer zu finden, bevor sie ihr Ziel erreichen.
Die fünf vorgestellten Abfragen sind ein Ausgangspunkt, kein Endpunkt. Passen Sie sie an Ihre Umgebung an, verfeinern Sie sie mit UEBA-Erkenntnissen, und überführen Sie erfolgreiche Hunts in automatisierte Erkennungsregeln. So entwickelt sich Ihre Sicherheitsarchitektur kontinuierlich weiter – und Ihr SOC wird mit jeder Hunt-Session reifer.
Möchten Sie Threat Hunting in Ihrer Umgebung einführen oder Ihre bestehende Microsoft Sentinel-Implementierung optimieren? Kontaktieren Sie Creative Web Studio GmbH für eine kostenlose Erstberatung.
Haben Sie Fragen?
Kontaktieren Sie uns für eine kostenlose Beratung und erfahren Sie, wie wir Ihnen helfen können.
