Blue Team Field NotesDFIR · SOC · Vulnerability Management
DFIR et gestion des preuves

Triage et acquisition

Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.

Ordre de volatilité

La mémoire, les processus et les connexions disparaissent rapidement. Pour une machine active, collecte d'abord les informations volatiles, sauf si le risque métier impose l'isolation immédiate.

Triage Windows

$case = 'C:\IR\CASE-2026-001'
New-Item -ItemType Directory -Force $case | Out-Null
Get-Date -Format o | Out-File "$case\collection_time.txt"
Get-ComputerInfo | Out-File "$case\computerinfo.txt"
Get-Process | Sort-Object CPU -Descending | Format-Table -Auto | Out-File "$case\processes.txt"
Get-NetTCPConnection | Sort-Object State,RemoteAddress | Export-Csv "$case\connections.csv" -NoTypeInformation
Get-CimInstance Win32_StartupCommand | Export-Csv "$case\startup.csv" -NoTypeInformation
Get-ScheduledTask | Export-Clixml "$case\scheduled_tasks.xml"

Triage Linux

CASE=/mnt/evidence/CASE-2026-001
mkdir -p "$CASE"
date -u --iso-8601=seconds | tee "$CASE/collection_time.txt"
uname -a > "$CASE/uname.txt"
ps auxfww > "$CASE/processes.txt"
ss -plant > "$CASE/connections.txt"
systemctl list-unit-files --state=enabled > "$CASE/enabled_units.txt"
crontab -l > "$CASE/crontab_current_user.txt" 2>&1

Acquisition disque

Une image bit-à-bit est préférable lorsque l'analyse doit couvrir l'espace non alloué, les partitions supprimées ou les métadonnées du système de fichiers.

# Exemple avec ddrescue, source en lecture seule
sudo ddrescue -d -r3 /dev/sdb CASE-2026-001_disk01.raw CASE-2026-001_disk01.map
sha256sum CASE-2026-001_disk01.raw

Choisir entre collecte complète et ciblée

Contexte Collecte conseillée
Ransomware actif RAM + logs + image ciblée + sauvegardes
Compte compromis SIEM, identité, poste, navigateur, messagerie
Suspicion malware RAM + disque + réseau + EDR
Fraude interne messagerie, fichiers, journaux, autorisations RH/juridiques
Attention

Ne branche pas un disque suspect sur un poste sans bloqueur d'écriture lorsque l'intégrité judiciaire est importante.