Aller au contenu principal
Retour au blog
Technique 4 min 29 avril 2026

Blue Team Use Case — Détection de Mimikatz

BlueTeam SOC Mimikatz Sigma ThreatDetection
Partager LinkedIn X / Twitter

Mimikatz reste aujourd'hui l'outil de référence pour le vol de credentials.


👉 Selon le rapport Mandiant M-Trends 2026 : 80% des compromissions impliquent du credential dumping.


Une fois les identifiants compromis :

→ l'attaquant devient « légitime »

→ il peut se déplacer latéralement

→ il accède aux systèmes critiques


La détection précoce est donc essentielle.

80%

des compromissions impliquent du credential dumping

Dwell time moyen : 16 jours — Coût moyen d'une compromission : ~4,8 M$

Source : Mandiant M-Trends 2026

Mettre en place ces règles de détection prend moins de 30 minutes — et peut stopper une attaque avant exfiltration.

⚙️1. Processus suspects

👉 Sysmon Event ID 1 — création de processus.

  • Détection de commandes sekurlsa::logonpasswords
  • Arguments suspects en ligne de commande
  • Binaires connus ou hashs Mimikatz (même obfusqués)

🔍2. Accès anormal à LSASS

👉 Sysmon Event ID 10 — accès mémoire critique.

  • Tout processus non système accédant à lsass.exe
  • GrantedAccess 0x1FFFFF = accès mémoire complet
  • Signal le plus fiable pour Mimikatz en mémoire

🌐3. Mouvements latéraux

👉 Event ID 4624 / 4648 — connexions suspectes.

  • Connexions avec Pass-the-Hash (NTLMv1)
  • Ticket Kerberos anormal (Pass-the-Ticket)
  • Connexions admin depuis des hôtes inhabituels

📋4. Alertes et corrélation

👉 SIEM : corréler les événements.

  • Règles Sigma intégrées dans votre SIEM
  • Alertes en temps réel sur les accès LSASS
  • Corrélation avec les connexions admin suspectes
Règle Sigma — Détection accès LSASS

À intégrer dans vos règles de monitoring (Splunk, Elastic, Microsoft Sentinel) :

detection:

selection:

EventType: Access

TargetImage: C:\Windows\system32\lsass.exe

GrantedAccess: '0x1FFFFF'

condition: selection

👉 Détecte un accès mémoire complet à LSASS — signature caractéristique de Mimikatz.

🚨

📚 Cas réel — SOC bancaire (Janvier 2026)

Mimikatz identifié et stoppé avant exfiltration

🔔

Détection

Règle Sigma — accès LSASS

⏱️

Temps de réponse

12 minutes

🛑

Résultat

Attaque stoppée avant exfiltration

📅

Sans détection

Dwell time moyen : 16 jours

🧠 À retenir

La détection des accès à LSASS fait partie des fondamentaux d'un SOC efficace.

✔ Faible coût de mise en place

✔ Mise en œuvre rapide (< 30 minutes)

✔ Impact élevé — arrêt avant exfiltration

Ressources : SigmaHQ · Sysmon (Microsoft) · Mandiant M-Trends 2026

Quelles règles utilisez-vous pour détecter Mimikatz ? Sigma, Splunk, Elastic, autre ? Avez-vous déjà détecté une tentative en production ?

Partager LinkedIn X / Twitter

Besoin d'un accompagnement personnalisé ?

NagaShield Security vous aide à mettre en place ces mesures de manière concrète, adaptée à votre structure et votre budget.

Demander un diagnostic gratuit
🛡️

Besoin d'aide sur ce sujet ?

Pentest & Audit Technique