Cisco CCNP CyberOps Concentration Course — Threat Hunting und Defense (CBTHD 300-220) mit MITRE ATT&CK, Hunt-Maturity-Model. Inkl. Examen.
Geprüft von Admin Kursweg · Stand 25. Mai 2026
Was wird in diesem Kurs vermittelt
Threat Hunting ist die proaktive Suche nach Angreifern, die klassische Detection-Mechanismen umgangen haben. Cisco CBTHD (Conducting Threat Hunting and Defending using Cisco Technologies for CyberOps, 300-220) ist die Concentration-Spezialisierung im CCNP CyberOps Track. Zusammen mit dem Core-Exam 350-201 CBRCOR führt sie zur CCNP CyberOps Professional. Themen: Threat Hunting-Methodologie — Hunt Maturity Model nach David J. Bianco (HMM0 Initial, HMM1 Minimal, HMM2 Procedural, HMM3 Innovative, HMM4 Leading), Hunting Maturity Assessment. Hypothesis-Driven Hunting (basierend auf Threat Intelligence, MITRE ATT&CK Techniques, abnormalen Patterns). MITRE ATT&CK Framework vertieft — Tactics (TA0001 Initial Access bis TA0040 Impact), Techniques und Sub-Techniques (>600 dokumentierte), Procedures (Real-World-Examples), ATT&CK Navigator für Heatmap-Visualisierungen, ATT&CK Evaluations für Tool-Vergleiche. Cyber Kill Chain (Lockheed Martin), Diamond Model of Intrusion Analysis (Adversary, Capability, Infrastructure, Victim). Pyramid of Pain für IoC-Hierarchie (Hash, IP, Domain, Network/Host Artifacts, Tools, TTPs). Hunting-Datenquellen: Endpoint-Telemetrie (EDR-Logs, Sysmon, Windows Event Logs mit Event-IDs wie 4624 Logon, 4688 Process Creation, 1102 Audit Log Cleared), Network-Telemetrie (NetFlow, IPFIX, PCAP, Zeek/Bro, Suricata, Cisco Stealthwatch, Encrypted Traffic Analysis ETA), Cloud-Logs (CloudTrail, Azure Activity Log, GCP Audit Logs), Identity-Logs (Microsoft Entra ID Audit, Okta System Log), DNS Logs für DNS-Tunneling und DGA Detection. Cisco-Tools vertieft: Cisco Secure Endpoint (ehemals AMP for Endpoints), Cisco Secure Network Analytics (ehemals Stealthwatch) mit Encrypted Traffic Analytics, Cisco Umbrella (DNS-Layer Security mit Threat Intelligence), Cisco SecureX als XDR-Plattform für Integration. Hunting-Use-Cases praktisch: Lateral Movement (Pass-the-Hash, Pass-the-Ticket, WMI/PsExec/PSRemoting Abuse), Persistence (Scheduled Tasks, Run Keys, WMI Subscriptions), Privilege Escalation, Defense Evasion (Process Injection, AMSI Bypass, Living Off The Land Binaries — LOLBins), Exfiltration (DNS Tunneling, Cloud Storage Abuse). Threat Intelligence Integration (MISP, OpenCTI, kommerzielle Feeds wie Recorded Future, Mandiant), IoC-Pivoting (von einem IoC alle related finden). Exam: 90-110 Minuten, ~60 Fragen, kein offizieller Pass-Score (Cisco gibt nicht heraus), erfahrungsgemäß ~825/1000.
Marktdaten zu Verdienst, offenen Stellen und Zukunftsaussicht im Bereich IT & Informatik
Einstieg
38.000–48.000 €
0–2 Jahre Erfahrung
Mittel
52.000–68.000 €
3–7 Jahre Erfahrung
Senior
70.000–95.000 €
8+ Jahre / Lead-Rolle
124.000+
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Bei AZAV-zertifizierten Trägern ist die Kursgebühr regelmäßig zu 100 % förderbar.
Erst Core 350-201 CBRCOR, dann Concentration (CBTHD 300-220 oder andere). CBROPS Associate optional als Vorbereitung.
Bewertet Reife eines Hunt-Programms von HMM0 (keine Hunts) bis HMM4 (Hunting als KI-augmentierte Disziplin).
Cisco-Fokus für die Zertifizierung. Konzepte (MITRE, Pyramid of Pain) sind aber tool-agnostisch und übertragbar.
CCNP CyberOps Concentration ist 3 Jahre gültig. Recertification via Continuing Education oder erneutes Exam.
Vorbereitung auf Microsoft-Zertifizierung AZ-801: Storage Spaces Direct, Failover Clustering, Hyper-V, Azure Site Recovery, hybride Active-Directory-Szenarien. Für Senior-Windows-Administratoren.
Vorbereitung auf die Microsoft-Zertifizierung MS-102 (M365 Administrator Expert): Microsoft Entra ID, Microsoft 365 Defender, Purview, PowerShell. Für Senior-Cloud-Administratoren.
Vorbereitung auf MD-102 Endpoint Administrator: Microsoft Intune, Endpoint Manager, Geräteverwaltung, Anwendungsverwaltung, Compliance. Für Windows-Client- und Mobile-Device-Administratoren.
Sag uns einmal Region, Format (online/präsenz), Zeit-Modell und Förderstatus — wir vergleichen für dich und melden uns mit 1–3 passenden Trägern. Kostenlos, unverbindlich.
Typischer Verlauf nach dem Kurs
Quellen: Bundesagentur für Arbeit · Engpassanalyse 2024/25 · StepStone Gehaltsreport 2025 · Bitkom Studie Fachkräftemangel 2024. Brutto-Jahresgehälter aus Erhebungen 2024/25, abweichend nach Region und Tarifgebundenheit.
Vorbereitung auf AZ-800: Windows Server Hybrid-Konfiguration mit Active Directory, Hyper-V, Group Policy, Azure File Sync. Für Windows-Administratoren mit Cloud-Wechsel.