Qu'est-ce que la chasse aux menaces, et en quoi diffère-t-elle de l'attente des alertes ?
Réponse courte
La chasse aux menaces est la pratique proactive, guidée par des hypothèses, qui consiste à fouiller la télémétrie pour y trouver l'activité d'un adversaire que les détections existantes ont manquée. Contrairement au tri des alertes — réactif et qui attend qu'un outil se déclenche — la chasse part d'une question (« si un attaquant faisait X, quelles preuves verrais-je ? »), la teste face aux données, et soit trouve quelque chose, soit produit une nouvelle détection. Elle suppose que la prévention et les alertes sont imparfaites et qu'un adversaire déterminé est peut-être déjà à l'intérieur.
La chasse aux menaces part d'une hypothèse inconfortable : vos contrôles préventifs et vos alertes ne sont pas parfaits, et un adversaire compétent opère peut-être déjà dans l'environnement sans rien déclencher. La chasse est l'effort délibéré pour trouver cet adversaire avant qu'il n'atteigne son objectif.
Proactif vs réactif
Le tri des alertes est réactif : un outil juge quelque chose suspect, une alerte se déclenche, et un analyste réagit. Il ne détecte que ce pour quoi une règle a déjà été écrite. La chasse aux menaces est proactive : le chasseur part à la recherche d'une activité qu'aucune règle ne décrit encore, en exploitant les données que le SOC collecte déjà.
Guidée par des hypothèses
Une bonne chasse n'est pas une contemplation sans but des journaux. Elle commence par une hypothèse testable, souvent formulée ainsi : « Si un attaquant faisait X dans notre environnement, quels artefacts cela laisserait-il, et où ? » Par exemple : « si un adversaire utilise un LOLBin pour télécharger, je devrais voir certutil ou bitsadmin établir des connexions sortantes vers des hôtes non corporatifs. » Le chasseur interroge ensuite la télémétrie pour confirmer ou réfuter cela.
À quoi ressemble le succès
Une chasse qui ne trouve aucune compromission a tout de même de la valeur si elle produit quelque chose de durable : une nouvelle règle de détection, une lacune de couverture documentée, un référentiel amélioré, ou la certitude qu'une technique est absente. Le pire résultat est une chasse qui ne laisse aucun artefact réutilisable.
Pourquoi c'est important
Les recruteurs veulent vous entendre comprendre la chasse comme une discipline — supposer la compromission, formuler une hypothèse, la tester face à des données réelles, et réinjecter les résultats dans la détection. Les candidats qui confondent la chasse avec « lire les alertes plus fort » ou « lancer un scanner » révèlent qu'ils ne l'ont jamais pratiquée.
Questions de suivi probables
- D'où proviennent les hypothèses sur lesquelles vous menez vos chasses ?
- Quel est un bon résultat pour une chasse qui ne trouve rien de malveillant ?
- Comment mesurez-vous l'efficacité d'un programme de chasse ?