Blue Team Field NotesDFIR · SOC · Vulnerability Management
MITRE ATT&CK

Matrice et mapping

Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.

Concepts

Méthode de mapping

  1. décrire le comportement sans ATT&CK ;
  2. identifier l'objectif ;
  3. choisir la technique la plus spécifique soutenue par les preuves ;
  4. ne pas mapper sur le nom d'un outil seul ;
  5. documenter l'extrait de preuve ;
  6. indiquer le niveau de confiance.

Exemple

Observation : powershell.exe télécharge un script depuis une URL externe.
Mapping possible : T1059.001 PowerShell + T1105 Ingress Tool Transfer.
Preuves : Event 4688/Sysmon 1, proxy, fichier créé.

Erreurs courantes

Conseil opérationnel

Le mapping doit améliorer le triage, la détection ou le reporting. S'il n'apporte aucune décision, il est probablement trop générique.

Références officielles