Threat Intelligence MITRE ATT&CK — Sentinel Quantum Vanguard AI Pro

⚠️ Sources & Limitations

Données issues de sources publiques : MITRE ATT&CK Framework, bulletins CERT, advisories ANSSI, CVE/NVD.

Aucune action offensive : Sentinel est une plateforme défensive de monitoring et d'analyse. Aucune capacité d'intrusion ou d'attaque.

Détection vs Protection : Les capacités listées représentent ce que Sentinel peut détecter et logger, pas nécessairement bloquer automatiquement.

Qu'est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances accessible globalement sur les tactiques et techniques utilisées par les adversaires cyber, basée sur des observations réelles.

Cette matrice permet aux équipes SOC, CERT et analystes sécurité de :

Comprendre les comportements adverses
Prioriser les détections
Évaluer la couverture de défense
Communiquer avec un langage commun

Techniques Critiques Surveillées

Sentinel surveille et logue les indicateurs de ces techniques ATT&CK majeures

T1566 HIGH

Phishing

Technique d'ingénierie sociale par email, messages ou liens malveillants pour obtenir des credentials ou installer des malwares.

Initial Access

Détection Sentinel

Analyse des en-têtes email, détection URLs suspectes, patterns d'attachments malveillants

Logging

Horodatage, source, destination, score de confiance, IOCs extraits

T1078 CRITICAL

Valid Accounts

Utilisation de comptes légitimes compromis pour accéder aux systèmes et persister dans l'environnement.

Persistence Privilege Escalation

Détection Sentinel

Analyse comportementale des connexions, détection d'anomalies géographiques et temporelles

Alertes

Connexion depuis IP inhabituelle, accès hors horaires normaux, tentatives multiples

T1486 CRITICAL

Data Encrypted for Impact

Chiffrement malveillant des données (ransomware) pour extorquer une rançon ou perturber les opérations.

Impact

Détection Sentinel

Surveillance activité I/O anormale, patterns de renommage massif, process suspects

Alertes

Alerte critique immédiate, capture IOCs, timeline reconstruction

T1190 HIGH

Exploit Public-Facing Application

Exploitation de vulnérabilités dans applications web exposées (SQLi, RCE, XXE, etc.).

Initial Access

Détection Sentinel

WAF logs, détection patterns d'exploitation, analyse requêtes HTTP malformées

Logging

Requête complète, payload détecté, IP source, user-agent, timestamp

T1059 HIGH

Command and Scripting Interpreter

Exécution de commandes via PowerShell, Bash, Python, etc. pour actions malveillantes.

Execution

Détection Sentinel

Monitoring process execution, command-line logging, détection obfuscation

Alertes

Scripts encodés, commandes suspectes (Invoke-Expression, curl|bash)

T1070 MEDIUM

Indicator Removal

Effacement de logs, historiques, artefacts pour couvrir les traces d'intrusion.

Defense Evasion

Détection Sentinel

Surveillance intégrité logs système, détection suppressions anormales

Logging

Réplication logs vers SIEM externe, alertes sur tentatives d'effacement

Groupes APT Documentés

Acteurs de menace persistante avancée (APT) suivis via sources publiques

APT28 / Fancy Bear

Attribution présumée: Russie (GRU)

Fancy Bear Sofacy Pawn Storm Strontium

Groupe APT actif depuis 2007, ciblant gouvernements, militaires, médias et organisations politiques. Connu pour campagnes de spear-phishing sophistiquées et exploitation zero-days.

Techniques MITRE observées

T1566 - Phishing T1203 - Exploitation for Client Execution T1055 - Process Injection T1071 - Application Layer Protocol

APT29 / Cozy Bear

Attribution présumée: Russie (SVR)

Cozy Bear The Dukes Nobelium Yttrium

Acteur sophistiqué ciblant think tanks, gouvernements, organisations diplomatiques. Impliqué dans SolarWinds (2020). Utilise supply chain attacks et malwares personnalisés.

Techniques MITRE observées

T1195 - Supply Chain Compromise T1078 - Valid Accounts T1027 - Obfuscated Files T1021 - Remote Services

APT41

Attribution présumée: Chine

Barium Winnti Double Dragon

Groupe dual-use combinant espionnage étatique et cybercriminalité financière. Cible gaming, healthcare, télécoms, éducation. Très prolifique et adaptable.

Techniques MITRE observées

T1190 - Exploit Public-Facing App T1059 - Command Interpreter T1567 - Exfiltration Over Web T1486 - Data Encrypted

Lazarus Group

Attribution présumée: Corée du Nord

Hidden Cobra Guardians of Peace Zinc

Groupe APT nord-coréen responsable d'attaques majeures (Sony Pictures, WannaCry, vols crypto). Focus sur génération de revenus et espionnage.

Techniques MITRE observées

T1566 - Phishing T1486 - Data Encrypted T1204 - User Execution T1583 - Acquire Infrastructure

Mapping: Détection → Sentinel

Comment Sentinel détecte, logue et alerte sur ces techniques

Technique MITRE	Ce que Sentinel détecte	Ce qui est loggé	Ce qui alerte
`T1566 - Phishing`	URLs suspectes, attachments malveillants, en-têtes anormaux	Email source, IOCs, score confiance, timestamp	Score > seuil, domaines blacklistés
`T1078 - Valid Accounts`	Anomalies géo/temporelles, impossible travel, accès inhabituels	User, IP, géoloc, timestamp, session duration	Connexion hors pattern normal, multi-geo simultané
`T1486 - Ransomware`	Activité I/O massive, renommages en masse, process suspects	Process tree, fichiers modifiés, hash, IOCs	Alerte critique immédiate
`T1190 - Exploit WebApp`	SQLi, RCE, XXE patterns, requêtes malformées	HTTP request complète, IP source, payload, user-agent	Signatures exploit connues, requêtes anormales

✓ Approche Défensive Uniquement

Sentinel ne dispose d'aucune capacité offensive. Toutes les fonctionnalités listées sont des capacités de détection, logging et alerting basées sur l'analyse de logs, network traffic, et comportements système.

Pour une protection active (blocking), Sentinel doit être intégré à des solutions complémentaires (Firewall, EDR, SIEM).