MITRE ATT&CK — Fichiers et Répertoires Cachés (T1564.001)

Ce qu'il fait

Cette compétence fournit une analyse structurée, axée sur la défense, de la sous-technique MITRE ATT&CK T1564.001 (Fichiers et Répertoires Cachés). Elle aide à mapper les comportements observés vers ATT&CK, à produire des idées de détection, à prioriser la collecte de télémétrie et à générer des artefacts reproductibles tels que des dossiers de détection, des plans de chasse (hunt plans) et des notes de réponse aux incidents. La compétence regroupe des métadonnées lisibles par machine et des modèles pour rendre les sorties cohérentes et exploitables.

Quand l'utiliser

Utilisez cette compétence lors du triage, de l'ingénierie de détection, du threat hunting, des évaluations de couverture ATT&CK ou lors de la planification d'exercices d'émulation d'adversaires sécurisés. Elle est appropriée lorsque les preuves de logs ou les questions d'analystes font référence à des fichiers cachés, des dotfiles suspects, des drapeaux UF_HIDDEN sur macOS, ou des modèles suggérant la dissimulation de répertoires/fichiers pour plus de discrétion.

Ce qui est inclus

• Scripts : scripts/render_brief.py pour générer un dossier markdown à partir des métadonnées de la technique (has_scripts=true).
• Références : detection-and-mitigation.md, technique-profile.json, known-threat-context.md (has_references=true).
• Instructions : flux de travail agent étape par étape pour la clarification du périmètre, le mapping vers ATT&CK, la production de logique de détection et les limites d'émulation sécurisées. Des modèles pour les dossiers, les plans de chasse et les notes de réponse aux incidents sont inclus.

Agents compatibles

Idéalement utilisée par des agents avec exécution de code et accès aux fichiers (Claude Code, assistants de type Copilot, ou d'autres agents pouvant lire les JSON/modèles joints) afin qu'ils puissent rendre les modèles et exécuter les scripts d'aide inclus.