Blue Team Field NotesDFIR · SOC · Vulnerability Management
Prise en main

Architecture et cadre éthique

Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.

Objectif du portail

Ce site est un aide-mémoire opérationnel. Il ne remplace ni les procédures internes, ni la validation du responsable sécurité, ni les exigences légales. Utilise-le pour préparer une collecte, vérifier une commande, structurer une hypothèse et produire un rapport reproductible.

Périmètre et autorisation

Avant tout scan, test web ou collecte sur un système :

  1. identifier le propriétaire de l'actif ;
  2. obtenir un périmètre écrit : IP, FQDN, application, fenêtre de tir ;
  3. définir les techniques autorisées et interdites ;
  4. prévoir un contact d'escalade ;
  5. convenir d'un arrêt immédiat en cas d'impact.
Attention

Un scan Nmap, Nessus, ZAP ou Burp peut provoquer une charge, déclencher un WAF/EDR ou modifier l'état d'une application. Ne lance jamais de test actif hors périmètre autorisé.

Architecture de travail recommandée

Zone Rôle Exemples
Poste analyste Analyse et documentation VM Kali/Windows, Wireshark, Volatility
Zone preuves Stockage en lecture seule NAS chiffré, dossier de cas, hashes
Zone outils SIEM, sandbox et scanners Splunk, Elastic, Suricata, Nessus
Zone cible Actifs autorisés Lab, préproduction, parc client

Principes de sécurité

Convention de dossier

CASE-2026-001/
├── 00_admin/          # mandat, périmètre, contacts
├── 01_originals/      # preuves originales, lecture seule
├── 02_working_copies/ # copies de travail
├── 03_exports/        # CSV, JSON, PCAP extraits
├── 04_analysis/       # notes, scripts, captures
├── 05_timeline/       # chronologie normalisée
└── 06_report/         # rapport et annexes
Conseil opérationnel

Crée le dossier de cas avant la première collecte. Cela évite les fichiers dispersés et facilite la chaîne de garde.