MITRE ATT&CK — T1569.001 Launchctl

Ce qu'elle fait

Fournit une analyse défensive et un reporting structurés pour la sous-technique MITRE ATT&CK T1569.001 (Launchctl). La compétence mappe les observations aux concepts ATT&CK, suggère des sources de télémétrie et une logique de détection, et produit des modèles pour les rapports de détection, les plans de chasse (hunt plans) et les notes de réponse aux incidents.

Quand l'utiliser

Utilisez cette compétence lors de l'investigation d'activités macOS pouvant impliquer launchctl, lors de la création de règles de détection ou de la collecte de télémétrie pour les Agents/Daemons de lancement, pendant la chasse aux menaces axée sur les techniques d'exécution, ou lors de la préparation d'exercices d'émulation d'adversaires contrôlés nécessitant des conseils strictement défensifs et sécurisés.

Ce qui est inclus

• Scripts : scripts d'aide au rendu sous scripts/ pour générer des rapports (has_scripts=true).
• Références : métadonnées ATT&CK, notes de détection et d'atténuation, et modèles sous references/ et templates/ (has_references=true).
• Instructions : guide procédural pour le triage, le mappage des preuves vers ATT&CK, des listes de contrôle de triage et une structure de sortie recommandée (évaluation, preuves, détection, réponse, lacunes de couverture, références).

Agents compatibles

Conçue pour les agents d'analyse défensive/sécurité et les assistants de recherche disposant de capacités de code et de markdown (Copilot/assistants de code, agents de type Codex et modèles compatibles CLI).