Threat Hunting

Le threat hunting est l'activité proactive de recherche de menaces cybernétiques dans un environnement IT — par opposition à l'activité réactive d'alert triage. Le hunter part de l'hypothèse "il y a probablement quelque chose qu'on n'a pas détecté" et chasse les indicateurs subtils d'intrusion qui ont échappé aux outils automatisés (EDR, SIEM, NIDS).

Approches méthodologiques : (1) hypothesis-driven hunting — formuler une hypothèse basée sur threat intel récente (ex: "si Volt Typhoon est actif dans notre secteur, ils utilisent du Living-off-the-Land — cherchons les patterns d'usage anormal de wmic, certutil, ntdsutil") ; (2) IOC-driven hunting — chasser des IoC spécifiques d'une menace connue (hashes, IPs, domains, mutex names) ; (3) anomaly-based hunting — partir de baselines statistiques (utilisateurs avec authentification depuis pays inhabituels, processus avec parent-child anormal, volumes DNS atypiques) ; (4) TTP-based hunting — chasser des techniques MITRE ATT&CK (T1003 Credential Dumping, T1059 Command and Scripting Interpreter).

Outils : (1) SIEM avec requêtes (KQL pour Sentinel/Defender XDR, SPL pour Splunk, ESQL pour Elastic, Sigma pour règles génériques convertibles) ; (2) EDR avec hunting console (Defender Advanced Hunting, Falcon Insight, S1 Deep Visibility) ; (3) plateformes dédiées : Velociraptor, Falcon Forensics, OSQuery + Fleet, Kolide ; (4) network : Zeek + Suricata + RITA pour beaconing detection ; (5) threat intel : MITRE ATT&CK Navigator, MISP, OpenCTI ; (6) frameworks : PEAK Framework (SpecterOps), TaHiTI, Sqrrl Hunting Loop.

Compétences requises : SQL/KQL/SPL fluency, MITRE ATT&CK mastery, knowledge des OS internals (Windows, Linux), curiosité, hypothesis generation. Certifications : GIAC GCFA, GCTI, GNFA ; SANS FOR508/FOR578 ; eCTHPv2 (eLearnSecurity Threat Hunting Professional). Métriques de succès : hypothèses testées par mois, nouvelles detections rules créées, attaquants débusqués, dwell time réduit.