Prise en main
Workflow de mission
Cadre de travail, sécurité opérationnelle et méthode reproductible pour les missions Blue Team.
Cycle opérationnel
Une mission efficace suit une boucle simple : cadrer → collecter → préserver → analyser → valider → rapporter → améliorer.
1. Cadrage
Documente :
- le déclencheur de la mission ;
- les actifs concernés ;
- l'impact métier potentiel ;
- les personnes autorisées à décider ;
- les délais et contraintes ;
- les sources de données disponibles.
2. Hypothèses
Transforme l'alerte en questions testables :
- Le compte a-t-il réellement été compromis ?
- Le processus est-il légitime ou détourné ?
- L'IP distante communique-t-elle avec d'autres hôtes ?
- L'attaque a-t-elle persisté après le redémarrage ?
3. Plan de collecte
Commence par les données les plus volatiles :
| Priorité | Donnée | Exemple |
|---|---|---|
| 1 | mémoire et connexions | RAM, processus, sockets |
| 2 | journaux en rotation | EDR, Event Logs, syslog |
| 3 | systèmes de fichiers | MFT, registry, home utilisateur |
| 4 | données centralisées | SIEM, proxy, DNS, sauvegardes |
4. Analyse en entonnoir
Alerte initiale
↓
Contexte utilisateur / machine
↓
Indicateurs et chronologie
↓
Événements connexes
↓
Portée de l'incident
↓
Cause racine et actions
5. Validation croisée
Ne conclus pas sur une seule source. Exemples :
- Event ID 4624 + logs VPN + DHCP pour confirmer une connexion ;
netscanVolatility + pare-feu + DNS pour confirmer une communication ;- alerte Suricata + PCAP + proxy pour valider un téléchargement ;
- Nessus + vérification de version locale pour confirmer une vulnérabilité.
Scénario — Alerte PowerShell
Le SIEM détecte powershell.exe -enc. Vérifie le 4688/Sysmon 1, décode la commande, recherche le parent, examine les connexions réseau, puis cherche la même commande sur les autres hôtes.
6. Décision et rapport
Chaque conclusion doit préciser :
- le niveau de confiance ;
- les preuves associées ;
- les limites de l'analyse ;
- les actions réalisées ;
- les actions restantes et leur propriétaire.