Forensique réseau
Qu'est-ce que Forensique réseau ?
Forensique réseauCapture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
La forensique réseau examine captures de paquets (PCAP), NetFlow/IPFIX, journaux DNS, proxy, pare-feu et IDS pour identifier vecteurs d'intrusion, canaux d'exfiltration, C2 et déplacements latéraux. Les approches vont de la capture totale permanente au sniffing ciblé sur les points de convergence. Outils : Wireshark, Zeek, Suricata, tcpdump, Arkime/Moloch et plateformes NDR commerciales. Les analystes corrèlent flux, télémétrie endpoint et SIEM, décodent HTTP, métadonnées TLS, DNS, SMB et exploitent les empreintes JA3/JA4 pour repérer des clients suspects. Le trafic étant volatil, les politiques de rétention, le stockage sécurisé et la chaîne de possession depuis les sondes sont essentiels pour la recevabilité selon ISO/IEC 27037.
● Exemples
- 01
Reconstruction des sessions C2 HTTP d'un attaquant à partir d'un conn.log Zeek et d'un extrait PCAP.
- 02
Identification d'une exfiltration DNS via la distribution des longueurs de requête dans NetFlow.
● Questions fréquentes
Qu'est-ce que Forensique réseau ?
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Forensique réseau ?
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
Comment se défendre contre Forensique réseau ?
Les défenses contre Forensique réseau combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Forensique réseau ?
Noms alternatifs courants : NetFor, Forensique du trafic.