MITRE ATT&CK
Sources de données et détection
Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.
Relier technique et télémétrie
Pour chaque technique prioritaire, documente :
| Élément | Question |
|---|---|
| Source | quel capteur produit la donnée ? |
| Champ | quelles valeurs sont nécessaires ? |
| Couverture | quels actifs envoient la donnée ? |
| Rétention | combien de temps ? |
| Logique | quelle règle ou chasse ? |
| Validation | quel test contrôlé ? |
| Limites | quelles variantes échappent ? |
Exemple T1053.005 — Scheduled Task
Sources possibles :
- Windows Security 4698 ;
- TaskScheduler Operational ;
- Sysmon Process Create pour
schtasks.exe; - EDR ;
- état local des tâches.
SPL
index=windows (EventCode=4698 OR (EventCode=1 Image="*\schtasks.exe"))
| table _time host user TaskName CommandLine ParentImage
KQL
event.code : "4698" or
(process.name : "schtasks.exe" and event.category : process)
Mesurer la couverture
Technique : T1053.005
Sources prévues : Security, TaskScheduler, Sysmon
Couverture actifs : 92 %
Rétention : 30 jours
Règle : active
Test : validé sur lab le 2026-07-03
Limite : tâches créées hors audit sur 8 % des hôtes