DFIR et gestion des preuves
Timeline et artefacts
Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.
Construire une chronologie
Une timeline relie des événements indépendants : exécution, authentification, fichier créé, connexion réseau et persistance.
Artefacts Windows fréquents
| Artefact | Information utile |
|---|---|
| Event Logs | authentification, processus, services, PowerShell |
| Prefetch | exécutions de programmes et compteurs |
| Amcache | présence et exécution probable de binaires |
| Shimcache | historique de compatibilité, présence/exécution à interpréter avec prudence |
| LNK / Jump Lists | fichiers ouverts et chemins |
| Registry | utilisateurs, services, autoruns, USB |
| MFT / USN Journal | créations, suppressions et renommages |
Artefacts Linux fréquents
/var/log/auth.logou/var/log/secure;- journal systemd ;
audit.log;- historiques shell ;
- cron et timers systemd ;
- clés SSH et
authorized_keys; - packages installés ;
- fichiers récemment modifiés dans
/tmp,/var/tmp,/dev/shm.
Timeline minimale en CSV
TimestampUTC,Host,User,Source,Event,Indicator,Confidence,Evidence
2026-07-03T08:14:12Z,WIN23,aguidi,Security-4624,RDP logon,203.0.113.10,medium,evt-001
2026-07-03T08:15:02Z,WIN23,aguidi,Sysmon-1,powershell encoded,powershell.exe,high,evt-002
Méthode d'analyse
- place l'alerte au centre de la timeline ;
- élargis de ±15 minutes ;
- identifie l'événement parent ;
- recherche les changements de persistance ;
- cherche les événements similaires sur d'autres hôtes ;
- distingue la cause, l'action malveillante et les effets.
Conseil opérationnel
La timeline n'est pas une simple liste. Ajoute une colonne d'interprétation et une colonne de confiance pour expliciter le raisonnement.