Blue Team Field NotesDFIR · SOC · Vulnerability Management
Référence opérationnelle Blue Team

BLUE TEAM
FIELD NOTES

Un portail francophone de référence pour les missions SOC, DFIR, analyse réseau, SIEM, investigation mémoire, tests web autorisés et gestion des vulnérabilités.

Commencer
20domaines
60pages pratiques
100%français
Contexte

Guide de mission

Les procédures sont conçues pour être utilisées comme aide-mémoire pendant une investigation, un triage SOC, un audit autorisé ou une préparation d’examen.

Auteur
Aurelien Guidi
Rôle
CyberSecurity Specialist
Focus
DFIR · Detection · SOC · Vulnerability Management
Domaine
blue.celestice.ch
Principes

Préserver les preuves, documenter chaque action, limiter les scans au périmètre autorisé, valider les résultats et produire un rapport reproductible.

Documentation

Domaines techniques

Chaque domaine contient une méthode, des commandes, des points de contrôle et des exemples de mission.

🧭

Prise en main

Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.

3 chapitres →
🔬

DFIR et gestion des preuves

Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.

3 chapitres →
🧠

Volatility 2

Référence legacy pour l’analyse mémoire avec profils, plugins Windows et comparaison avec Volatility 3.

3 chapitres →
🧬

Volatility 3

Analyse mémoire moderne, symboles automatiques, plugins Windows/Linux et workflow d’investigation reproductible.

3 chapitres →
🦈

Wireshark et tshark

Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.

3 chapitres →
📊

Splunk

Ingestion, recherche SPL, corrélation, détection et tableaux de bord pour les opérations SOC.

3 chapitres →
🔎

Elastic Security

Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.

3 chapitres →
🛰️

Suricata

IDS/IPS réseau, règles, sorties EVE JSON et analyse d’alertes corrélée au trafic.

3 chapitres →
🗂️

Autopsy

Analyse forensique graphique de disques, modules d’ingest, artefacts, timeline et rapports.

3 chapitres →
💽

FTK Imager

Acquisition, prévisualisation, image forensique, mémoire et vérification d’intégrité avec FTK Imager.

3 chapitres →
🪟

Journaux Windows

Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.

3 chapitres →
🐧

Journaux Linux

journalctl, syslog, authentification, auditd et triage d’un serveur Linux compromis.

3 chapitres →
📡

Nmap

Découverte réseau, ports, versions, OS et NSE dans un cadre d’audit autorisé.

3 chapitres →
🧪

Burp Suite

Proxy d’interception et tests manuels d’applications web avec Proxy, Repeater, Intruder et outils d’analyse.

3 chapitres →

OWASP ZAP

Proxy open source, exploration, scan passif/actif et automatisation contrôlée des tests web.

3 chapitres →
🩺

Nessus

Politiques de scan, scans authentifiés, analyse des plugins, priorisation et retest.

3 chapitres →
✉️

Analyse EML et phishing

Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.

3 chapitres →
🗺️

MITRE ATT&CK

Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.

3 chapitres →
🛡️

Gestion des vulnérabilités

Programme de vulnérabilités, priorisation par risque, SLA, exceptions, patching et indicateurs.

3 chapitres →
📒

Cheatsheets opérationnelles

Commandes rapides, requêtes SIEM et playbooks synthétiques pour le triage quotidien.

3 chapitres →