Skip to content

Comment utiliseriez-vous le framework MITRE ATT&CK pour améliorer votre couverture de détection ?

Réponse courte

ATT&CK est une base de connaissances des tactiques et techniques adverses réelles. Dans un SOC, vous mappez chaque règle de détection aux techniques qu'elle couvre, construisez une carte de couverture (souvent avec l'ATT&CK Navigator), puis priorisez la fermeture des lacunes selon les techniques les plus pertinentes pour votre modèle de menace et celles sur lesquelles vous n'avez aucune visibilité.

MITRE ATT&CK est devenu le langage commun pour parler du comportement des attaquants, donc les recruteurs attendent d'un analyste SOC qu'il connaisse plus que le seul nom. La bonne réponse relie ATT&CK à un workflow concret d'amélioration de la détection.

Ce qu'est réellement ATT&CK

ATT&CK est une base de connaissances curatée de la façon dont les adversaires réels opèrent, organisée en tactiques (l'objectif de l'attaquant, comme la Persistance ou le Lateral Movement) et en techniques (la manière précise de l'atteindre, comme les tâches planifiées ou le pass-the-hash). Chaque technique dispose d'une documentation, d'idées de détection et de références aux groupes qui l'utilisent. Elle décrit des comportements, pas des signatures, ce qui la rend durable à mesure que les malwares évoluent.

Mapper les détections aux techniques

L'usage SOC central est le mapping. Pour chaque règle de détection que vous maintenez, taguez la ou les techniques qu'elle couvre. Une fois vos règles mappées, vous pouvez les superposer à la matrice ATT&CK — l'ATT&CK Navigator est l'outil habituel — et voir instantanément quelles techniques sont bien couvertes, faiblement couvertes ou invisibles.

Prioriser les lacunes

Vous ne pouvez pas tout détecter d'un coup, donc priorisez. Pondérez les lacunes par votre modèle de menace : quelles techniques les groupes ciblant votre secteur utilisent-ils réellement, lesquelles touchent vos systèmes les plus sensibles, et où n'avez-vous aucune télémétrie. Combler une lacune à forte probabilité avec une source de données réalisable vaut mieux que de courir après une technique exotique que vous ne verrez jamais.

Guider aussi les enquêtes

ATT&CK structure également les enquêtes : une fois une technique confirmée, vous pouvez émettre l'hypothèse des tactiques adjacentes qu'un attaquant tenterait ensuite et les chasser.

Pourquoi c'est important

Utiliser ATT&CK transforme « nous avons beaucoup de règles » en « voici notre couverture mesurée et notre plan pour l'améliorer ». Ce passage de l'activité à des résultats mesurables est exactement ce que les recruteurs cherchent chez quelqu'un capable d'évoluer vers le detection engineering.

Questions de suivi probables

  • Quelle est la différence entre une tactique et une technique dans ATT&CK ?
  • Comment prioriseriez-vous les lacunes de techniques à combler en premier ?
  • Qu'est-ce que l'ATT&CK Navigator et comment l'utiliseriez-vous ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.