Cheatsheets opérationnelles
Playbooks d’incident
Commandes rapides, requêtes SIEM et playbooks synthétiques pour le triage quotidien.
Compte compromis
- confirmer l'identité et les connexions ;
- révoquer sessions/tokens selon décision ;
- réinitialiser l'authentification ;
- rechercher MFA, règles mailbox, OAuth, forwarding ;
- analyser postes et VPN ;
- identifier actions réalisées ;
- restaurer et surveiller.
Malware poste
- préserver RAM et télémétrie si possible ;
- isoler l'hôte ;
- identifier processus, parent, réseau et persistance ;
- rechercher IOC sur le parc ;
- supprimer/reconstruire selon niveau de confiance ;
- corriger le vecteur initial ;
- surveiller la récidive.
Phishing
- préserver EML ;
- extraire headers, URL, hash ;
- rechercher les destinataires ;
- purge/quarantaine ;
- identifier clics et saisies ;
- révoquer sessions ;
- bloquer IOC validés ;
- communication utilisateurs.
Vulnérabilité critique
- vérifier actifs et exposition ;
- confirmer exploitabilité ;
- appliquer mitigation immédiate ;
- patch/test/rollout ;
- rescan ;
- rechercher exploitation antérieure ;
- rapport et amélioration.
Conseil opérationnel
Un playbook est un guide de décision. Ajoute les contacts, outils, délais et autorisations spécifiques à ton entreprise.