Comment décidez-vous des sources de journaux et de la télémétrie dont vous avez besoin pour chasser efficacement ?
Réponse courte
Partez des techniques que vous voulez détecter, puis remontez jusqu'à la télémétrie qui les révèle — le mappage des sources de données d'ATT&CK y aide. En pratique, les sources à plus forte valeur sont la télémétrie endpoint des processus/lignes de commande et des chargements de modules (EDR/Sysmon), les journaux d'authentification et d'identité, le DNS et les flux proxy/réseau, et les journaux du plan de contrôle cloud. Vous auditez ensuite ce que vous collectez et conservez réellement face à ce dont chaque technique a besoin, exposant les angles morts. Une technique invisible dans tout journal n'est pas encore chassable.
Vous ne pouvez pas chasser ce que vous ne voyez pas. La première question de toute chasse n'est pas « quelle requête vais-je exécuter » mais « ai-je seulement les données qui révéleraient ce comportement, avec assez de fidélité et de rétention ? »
Partir de la technique, pas des données
Remontez à rebours. Choisissez les techniques qui vous importent — ATT&CK mappe chacune d'elles aux sources de données qui l'exposent (création de processus, exécution de commande, chargement de module, connexion, connexion réseau, création de fichier). Ce mappage transforme « de quels journaux ai-je besoin » en une liste de courses concrète guidée par la menace, et non par ce qui se trouve à affluer dans le SIEM.
Les sources à forte valeur
- Endpoint — création de processus avec ligne de commande complète, relations parent/enfant, chargements de modules/DLL, et événements registre/fichier. EDR ou Sysmon. C'est là que la plupart des comportements d'attaquant deviennent visibles.
- Identité et authentification — événements de connexion Windows, journaux de connexion Entra ID / Okta, activité Kerberos. Essentiels pour l'abus d'identifiants et le déplacement latéral.
- Réseau — requêtes DNS, journaux proxy/web et données de flux pour le C2 et l'exfiltration.
- Plan de contrôle cloud — CloudTrail, journaux d'activité Azure, journaux d'audit pour les TTP cloud.
Auditer les angles morts
Comparez ce dont chaque technique cible a besoin à ce que vous collectez et conservez réellement. Journalisation des lignes de commande désactivée ? Vous êtes aveugle aux LOLBins. Rétention de 7 jours ? Vous manquez les intrusions à combustion lente. Documentez ces angles morts comme des constats.
Pourquoi c'est important
Les recruteurs veulent voir que vous raisonnez de la menace vers la télémétrie et que vous traitez les angles morts comme des problèmes de premier ordre — et non quelqu'un qui suppose que les données sont déjà là.
Questions de suivi probables
- Pourquoi la journalisation des lignes de commande de processus est-elle si précieuse, et comment l'activer ?
- Comment les limites de rétention contraignent-elles ce que vous pouvez chasser ?
- Que vous apporte un mappage source de données vers technique d'ATT&CK ?