Blue Team Field NotesDFIR · SOC · Vulnerability Management
Wireshark et tshark

Investigation de trafic malveillant

Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.

Workflow

  1. identifier les conversations et principaux talkers ;
  2. isoler l'hôte suspect ;
  3. construire une chronologie DNS → connexion → requête → transfert ;
  4. extraire les indicateurs ;
  5. rechercher le même comportement dans le SIEM ;
  6. conserver le PCAP et les exports avec leurs hashes.

Filtres utiles

# Scans SYN
tcp.flags.syn == 1 and tcp.flags.ack == 0

# Réinitialisations
tcp.flags.reset == 1

# Retransmissions
tcp.analysis.retransmission

# SMB
smb2

# Kerberos
kerberos

# ICMP inhabituel
icmp and data.len > 100

Statistiques en ligne de commande

tshark -r capture.pcapng -q -z endpoints,ip
tshark -r capture.pcapng -q -z conv,tcp
tshark -r capture.pcapng -q -z io,stat,60

Reconstruction d'un flux

# Afficher le flux TCP 7 en ASCII
tshark -r capture.pcapng -q -z follow,tcp,ascii,7

Indicateurs à exporter

Scénario — Téléchargement PowerShell

Un poste résout un domaine nouveau, établit une session TLS puis exécute PowerShell. Le PCAP peut confirmer la destination et le volume, mais le contenu TLS nécessite des clés de session ou une autre télémétrie. Corrèle avec proxy, EDR et logs PowerShell.

Références officielles