Forensique et réponse
DFIR (Investigation numérique et réponse à incident)
Aussi appelé: Forensique et réponse à incident
Définition
Discipline combinée qui fusionne l'investigation forensique numérique et la réponse à incident pour détecter, contenir, éradiquer et tirer les leçons des incidents de cybersécurité.
Exemples
- Activation d'un contrat DFIR après une attaque ransomware : triage Velociraptor, imagerie des hôtes clés et plan de confinement.
- Reconstruction d'une intrusion APT à partir de la télémétrie endpoint et des journaux cloud pour identifier l'accès initial et les déplacements latéraux.
Termes liés
Investigation numérique
Discipline scientifique consistant à identifier, préserver, analyser et documenter les preuves numériques issues d'ordinateurs, de réseaux et d'appareils, de manière juridiquement recevable.
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
Plan de réponse à incident
Document approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
Chaîne de possession
Traçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.