Blue Team Field NotesDFIR · SOC · Vulnerability Management
Elastic Security

Règles et investigation

Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.

Types de règles

Exemple EQL : Office → script

process where host.os.type == "windows" and event.type == "start" and
  process.parent.name in ("winword.exe", "excel.exe", "powerpnt.exe") and
  process.name in ("powershell.exe", "cmd.exe", "wscript.exe", "cscript.exe")

Investigation dans Timeline

Ajoute :

Règle de qualité

Une détection devrait documenter :

Élément Contenu
Intention comportement recherché
Données indices et champs requis
Logique requête et seuil
ATT&CK tactique/technique justifiée
Faux positifs cas connus
Triage pivots et décisions
Réponse confinement recommandé

Gestion des exceptions

Évite les exceptions globales. Utilise des conditions précises : hôte, signature, chemin, utilisateur de service, durée d'expiration et justification.

Conseil opérationnel

Une bonne règle contient son propre mini-playbook de triage. L'analyste doit savoir quoi vérifier sans rechercher la logique ailleurs.

Références officielles