Pass The Hash
PtH : réutilisation hash NTLM sur plusieurs hôtes.
Criticité
Élevé
Début
mardi 3 février 2026 à 07:00:00 UTC
Fin
mardi 3 février 2026 à 07:40:00 UTC
Analyse détaillée
Récit synthétique — scénario pass_the_hash entre 2026-02-03T07:00:00Z et 2026-02-03T07:40:00Z : corrélation réseau/auth/application conforme au type pass_the_hash. Prioriser confinement, journaux et validation humaine.
Remédiation proposée
1) Isoler les hosts/sources concernés. 2) Révoquer sessions / rotates secrets si nécessaire. 3) Mettre à jour règles détection. 4) Documenter pour astreinte.
Détail modèle — détection, confiance, justification
Scénario / corrélation
pass_the_hash
Corrélation playbook pass_the_hash.
Niveau de criticité (score)
Élevé
Niveau high selon agrégats incidents.
Résumé opérationnel (score)
PtH : réutilisation hash NTLM sur plusieurs hôtes.
Résumé synthétique à partir des IoC et fenêtre temporelle.
Proposition de remédiation (score)
1) Isoler les hosts/sources concernés. 2) Révoquer sessions / rotates secrets si nécessaire. 3) Mettre à jour règles détection. 4) Documenter pour astreinte.
Actions défensives alignées SIEM / durcissement.
Fenêtre d’agrégation (secondes)
300 s
Constante pipeline (300).
Type d’attaque
pass_the_hash
Motifs compatibles avec la famille MITRE / logs agrégés.
Adresses IP sources
10.0.1.12
Source dominante sur la fenêtre.
Comptes ou identités ciblés
adm_dupont
Actif ou compte impacté #1.
↳ wk_laptop_42
Actif ou compte impacté #2.
Début de la fenêtre d’attaque
mardi 3 février 2026 à 07:00:00 UTC
Premier événement au-dessus du seuil.
Fin de la fenêtre d’attaque
mardi 3 février 2026 à 07:40:00 UTC
Dernier événement avant retour baseline.
Indicateurs et signaux
Lateral Hosts : 5
Indicateurs numériques ou booléens extraits des preuves.
Jeu de démonstration — format aligné sur l’API modèle