Blue Team Field NotesDFIR · SOC · Vulnerability Management
MITRE ATT&CK

Sources de données et détection

Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.

Relier technique et télémétrie

Pour chaque technique prioritaire, documente :

Élément Question
Source quel capteur produit la donnée ?
Champ quelles valeurs sont nécessaires ?
Couverture quels actifs envoient la donnée ?
Rétention combien de temps ?
Logique quelle règle ou chasse ?
Validation quel test contrôlé ?
Limites quelles variantes échappent ?

Exemple T1053.005 — Scheduled Task

Sources possibles :

SPL

index=windows (EventCode=4698 OR (EventCode=1 Image="*\schtasks.exe"))
| table _time host user TaskName CommandLine ParentImage

KQL

event.code : "4698" or
(process.name : "schtasks.exe" and event.category : process)

Mesurer la couverture

Technique : T1053.005
Sources prévues : Security, TaskScheduler, Sysmon
Couverture actifs : 92 %
Rétention : 30 jours
Règle : active
Test : validé sur lab le 2026-07-03
Limite : tâches créées hors audit sur 8 % des hôtes

Références officielles