Blue Team Field NotesDFIR · SOC · Vulnerability Management
Cheatsheets opérationnelles

Playbooks d’incident

Commandes rapides, requêtes SIEM et playbooks synthétiques pour le triage quotidien.

Compte compromis

  1. confirmer l'identité et les connexions ;
  2. révoquer sessions/tokens selon décision ;
  3. réinitialiser l'authentification ;
  4. rechercher MFA, règles mailbox, OAuth, forwarding ;
  5. analyser postes et VPN ;
  6. identifier actions réalisées ;
  7. restaurer et surveiller.

Malware poste

  1. préserver RAM et télémétrie si possible ;
  2. isoler l'hôte ;
  3. identifier processus, parent, réseau et persistance ;
  4. rechercher IOC sur le parc ;
  5. supprimer/reconstruire selon niveau de confiance ;
  6. corriger le vecteur initial ;
  7. surveiller la récidive.

Phishing

  1. préserver EML ;
  2. extraire headers, URL, hash ;
  3. rechercher les destinataires ;
  4. purge/quarantaine ;
  5. identifier clics et saisies ;
  6. révoquer sessions ;
  7. bloquer IOC validés ;
  8. communication utilisateurs.

Vulnérabilité critique

  1. vérifier actifs et exposition ;
  2. confirmer exploitabilité ;
  3. appliquer mitigation immédiate ;
  4. patch/test/rollout ;
  5. rescan ;
  6. rechercher exploitation antérieure ;
  7. rapport et amélioration.
Conseil opérationnel

Un playbook est un guide de décision. Ajoute les contacts, outils, délais et autorisations spécifiques à ton entreprise.