Blue Team Field NotesDFIR · SOC · Vulnerability Management
Autopsy

Cas, sources et ingest

Analyse forensique graphique de disques, modules d’ingest, artefacts, timeline et rapports.

Créer un cas

Définis : nom du cas, numéro, examinateur, dossier de stockage et fuseau horaire. Utilise un stockage disposant de suffisamment d'espace pour l'index et les fichiers dérivés.

Ajouter une source

Autopsy prend notamment en charge :

Modules d'ingest utiles

Module Utilité
File Type Identification identifier le type réel
Hash Lookup known good / known bad
Keyword Search rechercher termes et motifs
Recent Activity navigateurs, documents récents
Embedded File Extraction archives et conteneurs
EXIF Parser métadonnées images
Interesting Files règles de fichiers intéressants
Data Source Integrity contrôle de la source

Stratégie

Pour un triage rapide, active les modules directement liés à l'hypothèse. Une analyse complète de plusieurs téraoctets peut durer longtemps et générer beaucoup de données.

Hash sets

Conseil opérationnel

Lance d'abord un ingest ciblé, puis ajoute des modules si les premières hypothèses le justifient. Documente la configuration utilisée.

Références officielles