Detection comportementale
Qu'est-ce que Detection comportementale ?
Detection comportementaleApproche de detection qui identifie l'activite malveillante a partir du comportement a l'execution des processus, utilisateurs et flux reseau, plutot que par des signatures statiques.
La detection comportementale observe ce que le code fait sur un systeme — arbres de processus, relations parent-enfant, appels API, ecritures fichiers et registre, destinations reseau, arguments de ligne de commande, creation de taches planifiees — et signale les sequences qui correspondent a un tradecraft connu. Les regles s'expriment souvent en Sigma ou dans des langages proprietaires et se referent aux techniques MITRE ATT&CK telles que T1059 (interpreteurs de commandes) ou T1547 (autostart au boot ou logon). Les moteurs NGAV/EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason ou Elastic implementent la detection comportementale en temps reel. Contrairement aux signatures, elle attrape les malwares polymorphes, packes et fileless, mais necessite une telemetrie riche (Sysmon, flux EDR, audit) et un tuning serieux pour contenir les faux positifs.
● Exemples
- 01
Regle EDR qui se declenche quand Word lance PowerShell telechargeant depuis une IP externe — schema typique d'intrusion par macro.
- 02
Defender for Endpoint detectant un credential dumping en observant des lectures memoire dans LSASS depuis un processus non systeme.
● Questions fréquentes
Qu'est-ce que Detection comportementale ?
Approche de detection qui identifie l'activite malveillante a partir du comportement a l'execution des processus, utilisateurs et flux reseau, plutot que par des signatures statiques. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Detection comportementale ?
Approche de detection qui identifie l'activite malveillante a partir du comportement a l'execution des processus, utilisateurs et flux reseau, plutot que par des signatures statiques.
Comment fonctionne Detection comportementale ?
La detection comportementale observe ce que le code fait sur un systeme — arbres de processus, relations parent-enfant, appels API, ecritures fichiers et registre, destinations reseau, arguments de ligne de commande, creation de taches planifiees — et signale les sequences qui correspondent a un tradecraft connu. Les regles s'expriment souvent en Sigma ou dans des langages proprietaires et se referent aux techniques MITRE ATT&CK telles que T1059 (interpreteurs de commandes) ou T1547 (autostart au boot ou logon). Les moteurs NGAV/EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason ou Elastic implementent la detection comportementale en temps reel. Contrairement aux signatures, elle attrape les malwares polymorphes, packes et fileless, mais necessite une telemetrie riche (Sysmon, flux EDR, audit) et un tuning serieux pour contenir les faux positifs.
Comment se défendre contre Detection comportementale ?
Les défenses contre Detection comportementale combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Detection comportementale ?
Noms alternatifs courants : Detection basee sur le comportement, Analyse comportementale.
● Termes liés
- defense-ops№ 473
Detection heuristique
Methode de detection utilisant des indicateurs heuristiques — motifs de code suspects, packers, chaines anormales, combinaisons d'API — pour reperer des fichiers probablement malveillants sans signature exacte.
- network-security№ 048
Détection par anomalie
Approche de détection qui établit une base de référence de l'activité normale et signale comme potentiellement malveillantes les déviations par rapport à celle-ci.
- defense-ops№ 725
Antivirus de nouvelle generation (NGAV)
Protection endpoint qui complete la detection par signatures avec des modeles ML, de l'analyse comportementale et de la prevention d'exploits pour stopper les menaces inconnues et fileless.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- malware№ 417
Malware sans fichier
Logiciel malveillant qui s'exécute principalement en mémoire et exploite des outils système légitimes, en évitant les exécutables traditionnels sur disque.