Threat Hunter
Qu'est-ce que Threat Hunter ?
Threat HunterDéfenseur senior qui recherche proactivement, dans la télémétrie de l'entreprise, l'activité d'adversaires ayant contourné les détections en place, à l'aide d'hypothèses, de renseignement et d'analyse comportementale.
Un threat hunter est un défenseur senior qui recherche de manière proactive les activités malveillantes ayant échappé aux détections automatisées. Le travail est piloté par des hypothèses : à partir de techniques MITRE ATT&CK, de rapports de threat intelligence ou d'anomalies sur des baselines, le hunter parcourt la télémétrie EDR, SIEM, identité, cloud et réseau pour confirmer ou écarter la présence d'un adversaire. Il collabore étroitement avec les detection engineers pour transformer les hunts réussis en détections durables, et avec les incident responders lorsqu'une chasse devient une enquête. Le rôle est généralement rattaché au SOC ou à un groupe de cyberdéfense, sous la responsabilité d'un SOC manager ou d'un head of detection. Les qualifications usuelles comprennent plusieurs années en SOC Tier 2/3 ou DFIR et des certifications telles que GCFA, GCDA, GCIH ou CRTO.
● Exemples
- 01
Chasser sur l'ensemble du parc EDR les binaires living-off-the-land détournés par des affiliés ransomware.
- 02
Rechercher dans les journaux d'audit cloud des chaînes inhabituelles d'assume-role inter-comptes liées à des TTPs récentes de Cozy Bear.
● Questions fréquentes
Qu'est-ce que Threat Hunter ?
Défenseur senior qui recherche proactivement, dans la télémétrie de l'entreprise, l'activité d'adversaires ayant contourné les détections en place, à l'aide d'hypothèses, de renseignement et d'analyse comportementale. Cette notion relève de la catégorie Rôles et carrières en cybersécurité.
Que signifie Threat Hunter ?
Défenseur senior qui recherche proactivement, dans la télémétrie de l'entreprise, l'activité d'adversaires ayant contourné les détections en place, à l'aide d'hypothèses, de renseignement et d'analyse comportementale.
Comment fonctionne Threat Hunter ?
Un threat hunter est un défenseur senior qui recherche de manière proactive les activités malveillantes ayant échappé aux détections automatisées. Le travail est piloté par des hypothèses : à partir de techniques MITRE ATT&CK, de rapports de threat intelligence ou d'anomalies sur des baselines, le hunter parcourt la télémétrie EDR, SIEM, identité, cloud et réseau pour confirmer ou écarter la présence d'un adversaire. Il collabore étroitement avec les detection engineers pour transformer les hunts réussis en détections durables, et avec les incident responders lorsqu'une chasse devient une enquête. Le rôle est généralement rattaché au SOC ou à un groupe de cyberdéfense, sous la responsabilité d'un SOC manager ou d'un head of detection. Les qualifications usuelles comprennent plusieurs années en SOC Tier 2/3 ou DFIR et des certifications telles que GCFA, GCDA, GCIH ou CRTO.
Comment se défendre contre Threat Hunter ?
Les défenses contre Threat Hunter combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Threat Hunter ?
Noms alternatifs courants : Chasseur de menaces, Adversary hunter.
● Termes liés
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- roles№ 989
Analyste sécurité (SOC niveau 1/2/3)
Professionnel d'un SOC qui supervise les alertes, enquête sur les incidents et escalade les menaces, avec une hiérarchie classique allant du triage en niveau 1 à l'investigation avancée en niveau 3.
- roles№ 523
Incident Responder
Spécialiste qui pilote ou appuie la réponse technique aux incidents de sécurité confirmés, assurant containment, éradication, analyse forensique et reprise, en coordination avec juridique, communication et direction.
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- defense-ops№ 057
Groupe APT
Acteur de menace nomme et suivi (habituellement soutenu par un Etat) menant des campagnes ciblees, longues et bien dotees contre des organisations ou des secteurs precis.