🕵️‍♂️ DFIR (Informatique Légale & Réponse aux Incidents)
📖 Qu’est-ce que le DFIR ?
Digital Forensics and Incident Response (DFIR) combine les disciplines de la criminalistique numérique et de la gestion des incidents.
L’objectif est d’identifier, collecter, analyser et préserver les preuves numériques tout en répondant aux incidents de sécurité tels que les intrusions, malwares et menaces internes.
📌 Modules complétés
- DFIR : Introduction
- Windows Forensics 1
- Windows Forensics 2
- Linux Forensics
- Autopsy
- Redline
- KAPE
- Volatility
- Velociraptor
- TheHive Project
- Introduction à l’analyse de malware
- Unattended
- Disgruntled
- Critical
- Secret Recipe
📄 Matériel de référence
- Windows Forensics Cheat Sheet (PDF) – Outils et workflows clés pour les systèmes Windows.
- Linux Forensics Cheat Sheet (PDF) – Commandes, emplacements des journaux et conseils d’investigation pour Linux.
🎯 Compétences acquises
- Collecte et analyse des artefacts forensiques Windows et Linux
- Utilisation d’outils tels que Autopsy, Redline, Volatility et KAPE pour l’analyse forensic
- Analyse de mémoire et triage de malwares
- Exploitation de Velociraptor pour la réponse en direct aux incidents
- Gestion de cas et collaboration via TheHive Project
- Réalisation d’investigations forensiques de bout en bout dans des incidents simulés
📑 Études de cas
- Secret Recipe (Cas DFIR complet)
Investigation complète d’une intrusion simulée impliquant malware, menace interne et mouvement latéral.
Utilisation de plusieurs outils forensiques (KAPE, Autopsy, Velociraptor) pour collecter des artefacts, analyser les preuves et rédiger le rapport.
Lire l’étude de cas complète →
✅ Leçons apprises
- Les enquêtes DFIR nécessitent la corrélation des preuves provenant de multiples sources (journaux, mémoire, disque).
- Des outils comme Autopsy et Redline accélèrent l’analyse mais nécessitent l’interprétation de l’analyste.
- La forensic mémoire avec Volatility est essentielle pour détecter les activités malveillantes cachées.
- Les outils collaboratifs comme TheHive facilitent le suivi et le reporting des incidents.
- Les études de cas simulées (Unattended, Disgruntled, Critical, Secret Recipe) ont permis de construire des workflows DFIR réalistes.
đź”— Navigation
- Retour Ă Accueil du Portfolio