Threat Hunting
Qu'est-ce que Threat Hunting ?
Threat HuntingRecherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
Le threat hunting consiste à supposer le compromis et à aller le chercher. Les analystes formulent des hypothèses fondées sur des TTP, du renseignement ou des faiblesses connues, puis interrogent la télémétrie EDR, SIEM, réseau et cloud pour les confirmer ou les infirmer. À la différence du triage, réactif et guidé par les alertes, la chasse est itérative et exploratoire ; elle cherche à découvrir des intrusions actives et des angles morts de détection à transformer en nouvelles règles. Les programmes matures s'appuient sur des méthodologies comme PEAK ou des chasses orientées hypothèse alignées sur MITRE ATT&CK. Les livrables incluent rapports de chasse, nouvelles détections et améliorations de la visibilité.
● Exemples
- 01
Chasser les connexions à voyage impossible sur Microsoft 365 sur les 30 derniers jours.
- 02
Chercher des hôtes où un binaire signé légitime charge anormalement une DLL non signée (DLL sideloading).
● Questions fréquentes
Qu'est-ce que Threat Hunting ?
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Threat Hunting ?
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
Comment se défendre contre Threat Hunting ?
Les défenses contre Threat Hunting combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.