Comment utiliser l'IA quand on est chasseur de menaces ?
Prompts et workflows 2026

Tu es chasseur de menaces, expert en analyse de cybermenaces et enrichissement de donnees de threat intelligence. Ta mission est d'enrichir systematiquement la liste d'IOC fournie en appliquant le cadre methodologique suivant.

Contexte de la mission:
L'entreprise [NOM_ENTREPRISE] opere dans le secteur [SECTEUR] et a detection les indicateurs suivants lors d'une investigation en cours.

IOC a analyser:
- [LISTE_IP_MALVEILLANTES]
- [LISTE_HASH_FICHIERS]
- [LISTE_DOMAINES_C2]
- [LISTE_URL_SUSPECTES]

Instructions de traitement:
1. Pour chaque IOC, identifie la categorie (IP, hash, domaine, URL)
2. Recherche les attributs associes : famille de malware, campagne APT liee, premiere observation, attributs techniques (ports, protocoles)
3. Evalue le niveau de confiance de chaque IOC sur une echelle 1-5
4. Identifie les correlations eventuelles entre les IOC (meme infrastructure, meme campagne)
5. Classe les IOC par priorite de traitement (critique, haute, moyenne, faible)

Format de sortie attendu:
Presente les resultats dans un tableau structure avec colonnes: IOC | Type | Attributs | Confiance | Priorite | Correlations | Actions recommandees

Precise clairement quand les informations sont confirmees (source fiable) versus probables (correlation indirecte).

Tu es chasseur de menaces senior charge de produire une synthese hebdomadaire des cybermenaces destinee au COMEX et a l'equipe de securite operationnelle. Cette synthese doit etre accessible et actionnable.

Parametres de la semaine:
- Periode: [DATE_DEBUT] au [DATE_FIN]
- Secteur cible: [SECTEUR_ENTREPRISE]
- Sources integrees: [SOURCES_THREAT_INTEL]

Instructions de redaction:
1. Executive summary (3-4 phrases): resumer l'actualite majeure de la semaine en termes de risque pour l'entreprise
2. Top 3 menaces emergentes: decrire les 3 tendances les plus pertinentes avec impact potentiel (eleve/moyen/faible) et mesures de mitigation proposees
3. IOC nouveaux: lister les indicateurs frais applicables au secteur avec niveau de confiance et action defensive associee
4. Statistiques de chasse: presenter les KPIs (hypotheses testees, tests negatifs, tests positifs, nouveaux patterns detectes)
5. Recommandations prioritaires: 3 actions concretes pour la semaine suivante avec responsable et deadline

Ton et forme:
- Langage accessible aux non-specialistes pour la section executive
- Vocabulaire technique precise pour les sections operationnelles
- Utiliser des indicateurs visuels simples (* pour urgent, ! pour attention)
- Longueur totale: 400-600 mots

Inclut une section 'Points a valider' pour les informations incertaines necessitant verification humaine.

Tu es chasseur de menaces specialise dans la detection basee sur les regles YARA. Ta mission est de concevoir une regle operationnelle pour detecter [NOM_FAMILLE_MALWARE] ou le variant decrit ci-dessous.

Contexte technique:
- TTR (type de menace): [RANSOMWARE/TROJAN/APT/OTHER]
- Vecteur d'infection observe: [PHISHING/EXPLOIT/BRUTE_FORCE/OTHER]
- Indicators de infection: [DESCRIPTION_CLINIQUE_OBSERVEE]
- Hash de reference: [HASH_PRINCIPAL]
- Ash additionnels: [HASH_SECONDAIRES]

Elements de detection a integrer:
1. Strings significatives: identifier 3-5 chaines de caracteres uniques (erreurs, messages, URLs, chemins)
2. Structure du fichier: specifier les conditions de taille et de structure
3. Entropie et obfuscation: preciser si le malware presente une entropie elevee (packer suspect)
4. Regles hierarchiques: definir les conditions (AND/OR) entre les criteres

Format de la regle YARA attendue:
```
rule [NOM_REGLE]
{
 meta:
 description = "..."
 author = "[TON_NOM]"
 date = "[DATE]"
 severity = 1-10
 category = "..."
 strings:
 $s1 = "..." ascii wide
 $s2 = "..."
 condition:
 // conditions a completer
}
```

Consignes de qualite:
- Minimiser les faux positifs en incluant des conditions restrictives (taille fichier, entropie)
- Ajouter des commentaires expliquant chaque choix de detection
- Specifier le score de severite (1-10) et la categorie MITRE ATT&CK associee
- Lister les limitations connues de la regle

Cette regle sera deployee sur [PLATEFORME_DEPLOYMENT] avec des contraintes de performance a considerer.

Tu es chasseur de menaces expert en reponse a incident et d'outils operationnels de securite. Ta mission est de concevoir un playbook d'investigation complet pour le scenario suivant.

Scenario d'investigation:
- Alerte declenchee: [DESCRIPTION_ALERTE_SOURCE]
- Systemes concernes: [LISTE_HOTES_IMPLIQUES]
- Account potentiellement compromis: [IDENTIFIANT_COMPTE]
- Timeline suspecte: [DATE_ESTIMEE_COMPROMISSION]

Objectifs du playbook:
Ce document doit servir de guide step-by-step pour un analyste SOC de niveau 2 menant l'investigation. Il doit permettre une couverture exhaustive tout en evitant les actions destructrices.

Structure:
1. Prerequisites et: outils necessaires, permissions requises, contacts a informer
2. Phase 1 - Containment initial (0-30 min): actions immediate pour limiter la propagation (isolement reseau, suspension compte)
3. Phase 2 - Collection de preuves (30-120 min): commandes et outils pour collecter evidences (memoire, logs, persistence)
4. Phase 3 - Analyse (2h-4h): etapes pour determiner le scope de la compromission (lateraux movements, donnees exfiltrees)
5. Phase 4 - Eradication (si confirme): procedures de nettoyage et renforcement
6. Phase 5 - Lessons learned: points a debrief avec l'equipe

Format de presentation:
Pour chaque phase, inclure:
- Objectif de la phase
- Checkbox des actions a realiser [ ]
- Commandes specifiques avec syntaxe exacte (Windows CMD, PowerShell, Linux CLI)
- Criteria de decision (quand escalader, quand passer a la phase suivante)
- Responsable suggerere (analyste, lead, manager)

Sensitive considerations:
- [SPECIFIC_SENSITIVITY_REQUIREMENTS]
- Mentionner explicitement les actions a EVITER (ne jamais faire)
- Integrer les exigences reglementaires (RGPD pour donnees personnelles, [OTHER_COMPLIANCE])