Objectif

Mettre en œuvre une réponse aux incidents.

Tâches

1. Journaliser les incidents simulés et les actions prises.
2. Suivre les étapes du playbook de réponse aux incidents (IR).
3. Tester la réactivité et l'efficacité des procédures IR.

Outils utilisé

1. Préparation

• Définir les rôles : qui gère quoi pendant l'incident ?
• Installer des outils de réponse : auditd, sysmon, tcpdump, logrotate, etc.
• Documenter les procédures basiques de réponse (isolement, sauvegarde, analyse).

2. Détection & Analyse Initiale

• Indicateurs d’incident (IoCs) :
  • Port scan : multiples connexions incomplètes vers divers ports.
  • Force brute : trop de connexions SSH échouées (>10/min).
  • Escalade : commande su réussie, exécution de sudo, accès à /etc/shadow.