Blue Team Use Case — Détection de Mimikatz
Mimikatz reste aujourd'hui l'outil de référence pour le vol de credentials.
👉 Selon le rapport Mandiant M-Trends 2026 : 80% des compromissions impliquent du credential dumping.
Une fois les identifiants compromis :
→ l'attaquant devient « légitime »
→ il peut se déplacer latéralement
→ il accède aux systèmes critiques
La détection précoce est donc essentielle.
80%
des compromissions impliquent du credential dumping
Dwell time moyen : 16 jours — Coût moyen d'une compromission : ~4,8 M$
Source : Mandiant M-Trends 2026
Mettre en place ces règles de détection prend moins de 30 minutes — et peut stopper une attaque avant exfiltration.
⚙️1. Processus suspects
👉 Sysmon Event ID 1 — création de processus.
- Détection de commandes sekurlsa::logonpasswords
- Arguments suspects en ligne de commande
- Binaires connus ou hashs Mimikatz (même obfusqués)
🔍2. Accès anormal à LSASS
👉 Sysmon Event ID 10 — accès mémoire critique.
- Tout processus non système accédant à lsass.exe
- GrantedAccess 0x1FFFFF = accès mémoire complet
- Signal le plus fiable pour Mimikatz en mémoire
🌐3. Mouvements latéraux
👉 Event ID 4624 / 4648 — connexions suspectes.
- Connexions avec Pass-the-Hash (NTLMv1)
- Ticket Kerberos anormal (Pass-the-Ticket)
- Connexions admin depuis des hôtes inhabituels
📋4. Alertes et corrélation
👉 SIEM : corréler les événements.
- Règles Sigma intégrées dans votre SIEM
- Alertes en temps réel sur les accès LSASS
- Corrélation avec les connexions admin suspectes
À intégrer dans vos règles de monitoring (Splunk, Elastic, Microsoft Sentinel) :
detection:
selection:
EventType: Access
TargetImage: C:\Windows\system32\lsass.exe
GrantedAccess: '0x1FFFFF'
condition: selection
👉 Détecte un accès mémoire complet à LSASS — signature caractéristique de Mimikatz.
📚 Cas réel — SOC bancaire (Janvier 2026)
Mimikatz identifié et stoppé avant exfiltration
Détection
Règle Sigma — accès LSASS
Temps de réponse
12 minutes
Résultat
Attaque stoppée avant exfiltration
Sans détection
Dwell time moyen : 16 jours
🧠 À retenir
La détection des accès à LSASS fait partie des fondamentaux d'un SOC efficace.
✔ Faible coût de mise en place
✔ Mise en œuvre rapide (< 30 minutes)
✔ Impact élevé — arrêt avant exfiltration
Ressources : SigmaHQ · Sysmon (Microsoft) · Mandiant M-Trends 2026
Quelles règles utilisez-vous pour détecter Mimikatz ? Sigma, Splunk, Elastic, autre ? Avez-vous déjà détecté une tentative en production ?
Besoin d'un accompagnement personnalisé ?
NagaShield Security vous aide à mettre en place ces mesures de manière concrète, adaptée à votre structure et votre budget.
Demander un diagnostic gratuit