BLUE TEAM
FIELD NOTES
Un portail francophone de référence pour les missions SOC, DFIR, analyse réseau, SIEM, investigation mémoire, tests web autorisés et gestion des vulnérabilités.
Guide de mission
Les procédures sont conçues pour être utilisées comme aide-mémoire pendant une investigation, un triage SOC, un audit autorisé ou une préparation d’examen.
- Auteur
- Aurelien Guidi
- Rôle
- CyberSecurity Specialist
- Focus
- DFIR · Detection · SOC · Vulnerability Management
- Domaine
- blue.celestice.ch
Préserver les preuves, documenter chaque action, limiter les scans au périmètre autorisé, valider les résultats et produire un rapport reproductible.
Domaines techniques
Chaque domaine contient une méthode, des commandes, des points de contrôle et des exemples de mission.
Prise en main
Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.
3 chapitres →DFIR et gestion des preuves
Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.
3 chapitres →Volatility 2
Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.
3 chapitres →Volatility 3
Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.
3 chapitres →Wireshark et tshark
Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.
3 chapitres →Splunk
Ingestion, recherche SPL, corrélation, détection et tableaux de bord pour les opérations SOC.
3 chapitres →Elastic Security
Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.
3 chapitres →Suricata
IDS/IPS réseau, règles, sorties EVE JSON et analyse d’alertes corrélée au trafic.
3 chapitres →Autopsy
Analyse forensique graphique de disques, modules d’ingest, artefacts, timeline et rapports.
3 chapitres →FTK Imager
Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.
3 chapitres →Journaux Windows
Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.
3 chapitres →Journaux Linux
journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.
3 chapitres →Nmap
Découverte réseau, ports, versions, OS et NSE dans un cadre d’audit autorisé.
3 chapitres →Burp Suite
Proxy d’interception et tests manuels d’applications web avec Proxy, Repeater, Intruder et outils d’analyse.
3 chapitres →OWASP ZAP
Proxy open source, exploration, scan passif/actif et automatisation contrôlée des tests web.
3 chapitres →Nessus
Politiques de scan, scans authentifiés, analyse des plugins, priorisation et retest.
3 chapitres →Analyse EML et phishing
Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.
3 chapitres →MITRE ATT&CK
Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.
3 chapitres →Gestion des vulnérabilités
Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.
3 chapitres →Cheatsheets opérationnelles
Commandes rapides, requêtes SIEM et playbooks synthétiques pour le triage quotidien.
3 chapitres →