Abdoulaye Toure
Tous les articles
·4 min
Detection
Threat Hunting SOC KQL

Introduction au Threat Hunting

Formuler des hypothèses basées sur ATT&CK, exploiter des sources de vérité robustes et capitaliser en règles et playbooks.

Article

Le hunting comble l’écart entre signaux faibles et règles de détection. On part d’une hypothèse, on collecte des preuves, on conclut, puis on transforme en règle.

Sources de vérité

  • EDR telemetry
  • DNS/Proxy
  • Windows Security + Sysmon
  • Netflow/PCAP

Exemple d’hypothèse (ATT&CK T1047 WMI)

Des acteurs utilisent WMI pour exécuter des commandes à distance sans outils externes.
// Exécutions WMI suspectes
DeviceProcessEvents
| where ProcessCommandLine has "wmic"
| where ProcessCommandLine has "process call create"
| summarize count() by InitiatingProcessAccountName, bin(Timestamp, 1h)

Playbook (extrait)

  1. Collecte
    Récupérer événements 4688/4104 + telemetry EDR 7 jours.
  2. Filtrage
    Isoler les comptes/hosts administratifs attendus.
  3. Triangulation
    Corréler avec authent (4624/4625), DNS, proxy.
  4. Conclusion
    Documenter IOC/IOA; convertir en règle SIEM + runbook.
← PrécédentSécurisation d'Applications Web : Guide Pratique
Retour aux articles