Blue Team Field NotesDFIR · SOC · Vulnerability Management
DFIR et gestion des preuves

Chaîne de garde

Triage, acquisition, chronologie, analyse d’impact et rédaction d’un rapport d’investigation.

Contenu minimal

Une chaîne de garde documente le cycle de vie de la preuve :

Exemple de fiche

Champ Valeur
Evidence ID E-CASE-2026-001-004
Source RAM de WIN23
Outil WinPmem 4.x
Fichier WIN23_20260703T085500Z.raw
SHA-256
Collecteur A. Guidi
Stockage coffre preuves / dossier original

Vérification après copie

sha256sum /mnt/source/evidence.raw
rsync --progress /mnt/source/evidence.raw /mnt/vault/
sha256sum /mnt/vault/evidence.raw

Les deux hashes doivent être identiques. Note l'outil et les éventuelles erreurs de lecture.

Séparation logique

À retenir

Un export CSV ou une capture d'écran est une preuve dérivée. Référence toujours la source primaire permettant de la reproduire.