Découverte (tactique MITRE)
Qu'est-ce que Découverte (tactique MITRE) ?
Découverte (tactique MITRE)Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion.
La découverte (tactique MITRE ATT&CK TA0007) décrit la reconnaissance interne menée par l'adversaire après avoir obtenu un foothold. Elle inclut l'énumération des comptes, la découverte de la configuration système et réseau, l'énumération des relations de confiance de domaine, le listing fichiers/répertoires, l'inspection des favoris et coffres de mots de passe du navigateur, la découverte de services cloud et de logiciels de sécurité, ainsi que l'usage d'outils comme BloodHound pour cartographier les chemins de privilèges Active Directory. C'est une activité largement en lecture seule, difficile à bloquer directement mais riche en motifs de ligne de commande et d'API. Les défenseurs s'appuient sur l'EDR, l'audit de ligne de commande, la déception (comptes/fichiers leurres) et des détections dédiées à BloodHound, AdFind ou aux balayages net.exe.
● Exemples
- 01
Lancer le collecteur SharpHound de BloodHound pour cartographier les chemins vers Domain Admin.
- 02
Exécuter net group "Domain Admins" /domain pour énumérer les comptes privilégiés.
● Questions fréquentes
Qu'est-ce que Découverte (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Découverte (tactique MITRE) ?
Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion.
Comment fonctionne Découverte (tactique MITRE) ?
La découverte (tactique MITRE ATT&CK TA0007) décrit la reconnaissance interne menée par l'adversaire après avoir obtenu un foothold. Elle inclut l'énumération des comptes, la découverte de la configuration système et réseau, l'énumération des relations de confiance de domaine, le listing fichiers/répertoires, l'inspection des favoris et coffres de mots de passe du navigateur, la découverte de services cloud et de logiciels de sécurité, ainsi que l'usage d'outils comme BloodHound pour cartographier les chemins de privilèges Active Directory. C'est une activité largement en lecture seule, difficile à bloquer directement mais riche en motifs de ligne de commande et d'API. Les défenseurs s'appuient sur l'EDR, l'audit de ligne de commande, la déception (comptes/fichiers leurres) et des détections dédiées à BloodHound, AdFind ou aux balayages net.exe.
Comment se défendre contre Découverte (tactique MITRE) ?
Les défenses contre Découverte (tactique MITRE) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Découverte (tactique MITRE) ?
Noms alternatifs courants : Reconnaissance interne, TA0007.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 107
BloodHound
Outil open source qui exploite la theorie des graphes pour cartographier et analyser des chemins d'attaque dans Active Directory et Azure AD vers des cibles a haute valeur comme Domain Admin.
- defense-ops№ 905
Reconnaissance
Première phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.