DFIR et gestion des preuves
Triage et acquisition
Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.
Ordre de volatilité
La mémoire, les processus et les connexions disparaissent rapidement. Pour une machine active, collecte d'abord les informations volatiles, sauf si le risque métier impose l'isolation immédiate.
Triage Windows
$case = 'C:\IR\CASE-2026-001'
New-Item -ItemType Directory -Force $case | Out-Null
Get-Date -Format o | Out-File "$case\collection_time.txt"
Get-ComputerInfo | Out-File "$case\computerinfo.txt"
Get-Process | Sort-Object CPU -Descending | Format-Table -Auto | Out-File "$case\processes.txt"
Get-NetTCPConnection | Sort-Object State,RemoteAddress | Export-Csv "$case\connections.csv" -NoTypeInformation
Get-CimInstance Win32_StartupCommand | Export-Csv "$case\startup.csv" -NoTypeInformation
Get-ScheduledTask | Export-Clixml "$case\scheduled_tasks.xml"
Triage Linux
CASE=/mnt/evidence/CASE-2026-001
mkdir -p "$CASE"
date -u --iso-8601=seconds | tee "$CASE/collection_time.txt"
uname -a > "$CASE/uname.txt"
ps auxfww > "$CASE/processes.txt"
ss -plant > "$CASE/connections.txt"
systemctl list-unit-files --state=enabled > "$CASE/enabled_units.txt"
crontab -l > "$CASE/crontab_current_user.txt" 2>&1
Acquisition disque
Une image bit-à-bit est préférable lorsque l'analyse doit couvrir l'espace non alloué, les partitions supprimées ou les métadonnées du système de fichiers.
# Exemple avec ddrescue, source en lecture seule
sudo ddrescue -d -r3 /dev/sdb CASE-2026-001_disk01.raw CASE-2026-001_disk01.map
sha256sum CASE-2026-001_disk01.raw
Choisir entre collecte complète et ciblée
| Contexte | Collecte conseillée |
|---|---|
| Ransomware actif | RAM + logs + image ciblée + sauvegardes |
| Compte compromis | SIEM, identité, poste, navigateur, messagerie |
| Suspicion malware | RAM + disque + réseau + EDR |
| Fraude interne | messagerie, fichiers, journaux, autorisations RH/juridiques |
Attention
Ne branche pas un disque suspect sur un poste sans bloqueur d'écriture lorsque l'intégrité judiciaire est importante.