MITRE ATT&CK
Couverture et Purple Team
Planifier une simulation, mapper les techniques, associer les preuves et mesurer la couverture de détection.
Mesure
Pour chaque technique : exécutée, visible, détectée, investiguée, contenue et remédiée.
| État | Question |
|---|---|
| Visible | la télémétrie existe-t-elle ? |
| Détecté | une règle a-t-elle alerté ? |
| Qualifié | l’analyste a-t-il compris ? |
| Contenu | l’action a-t-elle été stoppée ? |
| Corrigé | la cause a-t-elle été traitée ? |
Purple Team
Un atelier Purple Team peut rejouer une action canari, observer les logs, ajuster une règle et retester immédiatement. Il réduit le risque par rapport à une opération aveugle.
Evidence
Associe l’ID ATT&CK à la commande de test, aux timestamps, aux événements et au résultat du SOC.
Limites
Une technique “détectée” une fois ne garantit pas une couverture permanente. Documente la source, la règle, le propriétaire, la version et la date du dernier test.