Framework Threat Hunting
Hypothèses → Tests → Évidence → Détections → Playbooks (SOC) — piloté par ATT&CK et métriques.
v1.0
Demo pack
Hunts actifs
1
Couverture ATT&CK (techniques clés)
26
MTTD (campagnes récentes)
3.1m
Précision alertes (VP/FP)
92%
Objectif pro : montrer une démarche de chasse industrialisée (sources, requêtes, détections, KPIs) avec livrables convertibles en valeur SOC.
Approche
- Hypothèses guidées ATT&CK (tactique/technique/IOA attendus).
- Sources fiables : EDR, 4688/4104, Sysmon, DNS/Proxy, Netflow.
- Triangulation (process ↔ réseau ↔ identité) + horodatage précis.
- Livrables : requêtes versionnées, règles (Sigma/SPL/KQL), playbooks SOAR.
- Mesure : MTTD/MTTR, précision alertes, couverture ATT&CK.
Architecture de données (simplifiée)
Flux ingestés
- EDR events (process/file/network)
- Windows Security & Sysmon
- DNS/Proxy web
- Netflow/PCAP
- AD authent & GPO
- Cloud audit (si applicable)