Aller au contenu

Prochaine édition 6 juillet 2026

Sécurité défensive

Chasse aux Menaces

Discipline proactive de cybersécurité où des analystes formulent des hypothèses, recherchent et investiguent des menaces ayant échappé aux défenses existantes, en utilisant la télémétrie, la threat intelligence et les modèles de comportement adverse pour détecter les attaquants déjà présents.

Auteur
Unihackers Team
Temps de lecture
2 min de lecture
Dernière mise à jour

Pourquoi C'est Important

Aucune technologie de détection ne capture tous les attaques. Les adversaires sophistiqués se fondent dans l'activité normale, abusent d'outils légitimes (living-off-the-land) et opèrent lentement pour éviter les seuils. Le rapport IBM Cost of a Data Breach montre régulièrement un dwell time médian de plus de 200 jours sans hunting actif.

Le threat hunting change la donne : au lieu d'attendre une alerte, les hunters supposent le compromis et cherchent des preuves. Les programmes matures documentent des centaines de détections issues de chasses humaines.

Le Cycle

1. Formuler une Hypothèse

Spécifique et testable, dérivée de threat intel, d'incidents récents ou de techniques MITRE ATT&CK.

2. Investiguer

Tirer la télémétrie EDR, identité, réseau et cloud. Appliquer analyses de fréquence, stack counting, outliers, reconstructions de timeline.

hunt-exemple.kql
KQL
// Hunt KQL pour activité WMI suspecte
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ProcessCommandLine has_any ("wmic", "Invoke-WmiMethod")
| where ProcessCommandLine has_any ("process call create", "/node:")
| summarize Count=count(), Devices=dcount(DeviceName) by InitiatingProcessAccountName
| where Devices >= 3
| order by Count desc

3. Documenter

Hypothèse confirmée, infirmée ou inconcluante, documenter ce qui a été appris.

4. Ingénierie de Détection

Convertir les chasses réussies en détections automatisées (Sigma, EDR custom, corrélations SIEM).

5. Hand-off

Compromis confirmés vers la réponse à incident. Le cycle reprend.

Méthodologies

ApprocheDescriptionQuand
HypothèseTTP-basedProgrammes matures
IntelligenceIOCs de rapportsAprès alertes ciblées
AnomalieOutliers statistiquesIntel limitée
Crown jewelsActifs critiquesRessources limitées
HybrideCombinaisonProgrammes réels

Pyramid of Pain

Hypothèses Courantes

  • Accès suspect à LSASS (T1003)
  • Binaires non signés depuis temp
  • PowerShell anormal encodé
  • Relations parent-enfant inhabituelles
  • Beaconing DNS
  • Logons interactifs de comptes de service
  • Tâches planifiées avec privilèges élevés

Construire un Programme

  1. Établir des baselines.
  2. Adopter MITRE ATT&CK.
  3. Centraliser la télémétrie (90+ jours).
  4. Chasses régulières documentées.
  5. Mesurer les résultats.

Concepts Liés

Dans le Bootcamp

Comment nous enseignons Chasse aux Menaces

Dans notre programme de cybersécurité, vous n'apprendrez pas seulement Chasse aux Menaces en théorie, vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.

Couvert dans :

Module 8: Opérations de Sécurité Avancées

Sujets connexes que vous maîtriserez :Réponse aux IncidentsDFIRChasse aux MenacesVolatility
Voir comment nous enseignons cela

360+ heures de formation experte • CompTIA Security+ inclus