Abdoulaye Touré
Retour aux articles

Introduction au Framework MITRE ATT&CK : Guide Pratique pour les Blue Teams

4 min

Dans le paysage actuel des cybermenaces, ...

Cet article vous guide ...

Qu'est-ce que MITRE ATT&CK ?

Définition et origines

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ...

Contrairement aux approches centrées ...

Structure du framework

1. Tactiques — le « Pourquoi »

  • Initial Access — Obtenir un pied dans le réseau
  • Persistence — Maintenir l'accès
  • Privilege Escalation — Élever les privilèges
  • Defense Evasion — Contourner les défenses
  • Credential Access — Vol d’identifiants
  • Discovery — Reconnaissance interne
  • Lateral Movement — Déplacement latéral
  • Collection — Rassembler les données
  • Exfiltration — Extraire les données

2. Techniques — le « Comment »

Les méthodes spécifiques ...

3. Procédures — le « Qui »

Implémentations précises ...

Les matrices MITRE ATT&CK

Enterprise Matrix

La matrice principale couvre ...

Matrices spécialisées

  • Mobile — Android et iOS
  • ICS — Systèmes industriels
  • PRE-ATT&CK — Pré-intrusion

Application pratique pour les Blue Teams

1) Évaluation de la couverture défensive

Exercice de mapping ...

Technique T1059.001 (PowerShell) :
✅ Couvert : Windows Event Logs (4104, 4103)
✅ Couvert : EDR (analyse comportementale)
❌ Gap : Détection des scripts obfusqués

2) Développement de règles de détection

Méthodologie structurée ...

# Exemple T1003.001 - LSASS Memory Dump
- L1: Lecture du processus LSASS
- L2: Outils connus (mimikatz, procdump)
- L3: Patterns comportementaux

3) Threat Hunting guidé

Hypothèse : utilisation de WMI (T1047) pour exécution distante.
-- WMI suspect
SELECT * FROM windows_events 
WHERE event_id = 4688 
AND process_name LIKE '%wmic.exe%'
AND command_line LIKE '%process call create%'

4) Simulation d’attaques (Purple Team)

  • Scénario APT
  • Reproduction contrôlée
  • Mesure d’efficacité
  • Amélioration continue

Outils et ressources

  • ATT&CK Navigator
  • DeTT&CT
  • Atomic Red Team
  • Elastic/Splunk/Sentinel

Cas d’étude : phishing → latéral

  • T1566.001 — Phishing
  • T1204.002 — User Execution
  • T1055 — Process injection
  • T1003.001 — LSASS dump
  • T1021.002 — SMB
Règle 1 — Macro Office -> enfants (Sysmon 1)
Règle 2 — Injection (Sysmon 8,10)
Règle 3 — Accès LSASS (Sysmon 10)
Règle 4 — SMB mouvements (4624/4625)

Bonnes pratiques & limites

  • Faux positifs : baselining + contexte
  • Volume : priorisation risque/impact
  • Évolution : veille continue

Conclusion & ressources

  • attack.mitre.org
  • MITRE ATT&CK Defender (MAD)
  • Communauté Slack
Retour aux articles
Purple Team : Méthodologie et Bonnes Pratiques