Le hunting comble l’écart entre signaux faibles et règles de détection. On part d’une hypothèse, on collecte des preuves, on conclut, puis on transforme en règle.
Sources de vérité
- EDR telemetry
- DNS/Proxy
- Windows Security + Sysmon
- Netflow/PCAP
Exemple d’hypothèse (ATT&CK T1047 WMI)
Des acteurs utilisent WMI pour exécuter des commandes à distance sans outils externes.
// Exécutions WMI suspectes
DeviceProcessEvents
| where ProcessCommandLine has "wmic"
| where ProcessCommandLine has "process call create"
| summarize count() by InitiatingProcessAccountName, bin(Timestamp, 1h)Playbook (extrait)
- CollecteRécupérer événements 4688/4104 + telemetry EDR 7 jours.
- FiltrageIsoler les comptes/hosts administratifs attendus.
- TriangulationCorréler avec authent (4624/4625), DNS, proxy.
- ConclusionDocumenter IOC/IOA; convertir en règle SIEM + runbook.