Blue Team Field NotesDFIR · SOC · Vulnerability Management
Analyse EML et phishing

URL, pièces jointes et réponse

Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.

Extraction sûre

Ne clique pas directement. Extrais :

Pièces jointes

# Lister les parties MIME
munpack -t suspicious.eml

# Hash après extraction
sha256sum extracted/*

# Métadonnées
exiftool extracted/document.pdf

Analyse statique avant sandbox : type réel, macros, scripts, liens, archive imbriquée, signature numérique.

Confidentialité

N'envoie pas un document client ou interne sur un service public sans autorisation. Les hashes peuvent aussi révéler l'existence d'un fichier connu.

Réponse à une campagne

  1. identifier les destinataires ;
  2. rechercher Message-ID, expéditeur, sujet, URL et hash ;
  3. bloquer les indicateurs validés ;
  4. retirer/quarantainer les messages ;
  5. contacter les utilisateurs ayant interagi ;
  6. réinitialiser sessions/identifiants si nécessaire ;
  7. chercher la persistance et les connexions ;
  8. documenter l'étendue.

Rapport phishing

Verdict : phishing de collecte d'identifiants
Confiance : élevée
From visible : support@examp1e.ch
Reply-To : external mailbox
SPF/DKIM/DMARC : pass sur domaine ressemblant
URL finale : hxxps://...
Utilisateurs ciblés / clics / saisies : ...
Actions : purge, blocage, reset, recherche SIEM

Références officielles