Blue Team Field NotesDFIR · SOC · Vulnerability Management
Prise en main

Workflow de mission

Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.

Cycle opérationnel

Une mission efficace suit une boucle simple : cadrer → collecter → préserver → analyser → valider → rapporter → améliorer.

1. Cadrage

Documente :

2. Hypothèses

Transforme l'alerte en questions testables :

3. Plan de collecte

Commence par les données les plus volatiles :

Priorité Donnée Exemple
1 mémoire et connexions RAM, processus, sockets
2 journaux en rotation EDR, Event Logs, syslog
3 systèmes de fichiers MFT, registry, home utilisateur
4 données centralisées SIEM, proxy, DNS, sauvegardes

4. Analyse en entonnoir

Alerte initiale
  ↓
Contexte utilisateur / machine
  ↓
Indicateurs et chronologie
  ↓
Événements connexes
  ↓
Portée de l'incident
  ↓
Cause racine et actions

5. Validation croisée

Ne conclus pas sur une seule source. Exemples :

Scénario — Alerte PowerShell

Le SIEM détecte powershell.exe -enc. Vérifie le 4688/Sysmon 1, décode la commande, recherche le parent, examine les connexions réseau, puis cherche la même commande sur les autres hôtes.

6. Décision et rapport

Chaque conclusion doit préciser :