Malwarebytes : triage d’alertes et investigation (mapping MITRE)

Objectif

Avoir une méthode répétable pour traiter une alerte Malwarebytes (Nebula / OneView) :

• Comprendre rapidement la sévérité
• Collecter les éléments utiles (process, chemin, utilisateur, timeline)
• Décider : false positive, PUP, malware, intrusion
• Contenir puis remédier
• Documenter (ticket + mapping MITRE ATT&CK)

Étape 1 — Triage rapide (2–5 minutes)

1. Ouvrez la console Malwarebytes.
2. Allez dans Detections / Suspicious activity.
3. Ouvrez l’événement et notez :
   • Endpoint / hostname
   • User account
   • Process path + nom de binaire
   • Heure de détection
   • Action (blocked / quarantined / allowed)
   • Severity

Décision rapide

• PUP / adware sur poste utilisateur : souvent low/medium, remédiation standard.
• Executable inconnu dans un chemin suspect : escalade.
• Initial Access / Lateral Movement (tag MITRE) : traiter comme critique.

Étape 2 — Vérifier le contexte endpoint

1. Confirmez si l’endpoint est :
   • Serveur critique ?
   • Poste utilisateur standard ?
2. Vérifiez l’historique :
   • autres détections récentes
   • last seen / agent update

Étape 3 — Collecte minimale (preuve)

Dans l’alerte, récupérez :

• Chemin complet du binaire
• Hash (si disponible)
• Parent process (process tree / graph)
• Paramètres (command line) si affichés
• Fichiers écrits / réseau (si disponibles)

Si vous devez demander au N2 : cette collecte est votre “pack d’escalade”.

Étape 4 — Containment (si suspicion forte)

Selon votre niveau d’accès :

1. Isolez l’endpoint (network isolation) si disponible.
2. Désactivez temporairement le compte utilisateur si compromission probable.
3. Bloquez IOC :
   • hash, URL, domain
4. Prévenez les parties prenantes (runbook interne).

Étape 5 — Remédiation

5.1 Cas PUP / adware

1. Lancez un scan complet.
2. Quarantaine / suppression.
3. Nettoyez :
   • extensions navigateur
   • programmes installés
4. Vérifiez les tâches planifiées et clés Run/RunOnce.

5.2 Cas malware / exécutable suspect

1. Quarantaine/suppression.
2. Reboot si nécessaire.
3. Contrôlez :
   • persistance (services, scheduled tasks)
   • connexions réseau anormales
4. Envisagez un reimage si doute important.

Étape 6 — Mapping MITRE (documenter)

Dans votre ticket, ajoutez :

• Tactic (ex. Initial Access)
• Technique (si connue)
• Justification (élément observé)

Exemple (simple) :

• Tactic: Initial Access
• Technique: Drive-by / Removable Media (selon le cas)
• Evidence: chemin + exécution + timeline

Étape 7 — Clôture et prévention

• Mettre à jour les règles / exclusions (si false positive prouvé)
• Ajouter un monitor/alerte corrélée (RMM/SIEM)
• Documenter un runbook “N1” :
  • collecte
  • containment
  • escalade