1 - Définition du Threat Hunting

    Le Threat Hunting (ou chasse aux cybermenaces) est une recherche de sécurité proactive à travers les réseaux, les terminaux et les datasets pour chasser les activités malveillantes, suspectes ou risquées qui ont échappé à la détection par les outils existants.

    L'idée est de supposer que les adversaires sont déjà dans le système et donc commencer des enquêtes pour trouver un comportement inhabituel qui peut indiquer la présence d'une activité malveillante.

Dans la chasse proactive aux menaces, le lancement d'enquête se divise généralement en trois catégories principales :

• Enquête basée sur des hypothèses,
• Enquête basée sur des indicateurs connus de compromission (IOC) ou des indicateurs d'attaque (IOA),
• Analyses avancées et enquêtes sur l'apprentissage automatique.

2 - Threat Hunting avec Nucleon

    Dans la partie Hunt, on trouve un graphique des processus les plus actifs, qui permet d’identifier des pics d’activité pouvant être la source de ralentissement ou forte utilisation disque des règles avec l’option bypass ou log désactivé permettent d’éviter trop de bruit :

Filtres de recherche : 

• Le filtre de date est obligatoire pour les événements 

• Les filtres de type texte sont au format regex,

• Plein d'autres filtres peuvent etre appliquer: Processus, PID, Hash, Path, ...

Lorsque la souris survole un titre de colonne, il est possible d’ajouter un filtre directement sur cette colonne, ou trier sur cette colonne :

Chaque événement est cliquable et affiche les détails de celui-ci comme pour une menace :