Blue Team Field NotesDFIR · SOC · Vulnerability Management
DFIR et gestion des preuves

Timeline et artefacts

Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.

Construire une chronologie

Une timeline relie des événements indépendants : exécution, authentification, fichier créé, connexion réseau et persistance.

Artefacts Windows fréquents

Artefact Information utile
Event Logs authentification, processus, services, PowerShell
Prefetch exécutions de programmes et compteurs
Amcache présence et exécution probable de binaires
Shimcache historique de compatibilité, présence/exécution à interpréter avec prudence
LNK / Jump Lists fichiers ouverts et chemins
Registry utilisateurs, services, autoruns, USB
MFT / USN Journal créations, suppressions et renommages

Artefacts Linux fréquents

Timeline minimale en CSV

TimestampUTC,Host,User,Source,Event,Indicator,Confidence,Evidence
2026-07-03T08:14:12Z,WIN23,aguidi,Security-4624,RDP logon,203.0.113.10,medium,evt-001
2026-07-03T08:15:02Z,WIN23,aguidi,Sysmon-1,powershell encoded,powershell.exe,high,evt-002

Méthode d'analyse

  1. place l'alerte au centre de la timeline ;
  2. élargis de ±15 minutes ;
  3. identifie l'événement parent ;
  4. recherche les changements de persistance ;
  5. cherche les événements similaires sur d'autres hôtes ;
  6. distingue la cause, l'action malveillante et les effets.
Conseil opérationnel

La timeline n'est pas une simple liste. Ajoute une colonne d'interprétation et une colonne de confiance pour expliciter le raisonnement.