Playbooks de Réponse aux Incidents

Bienvenue dans la section des Playbooks Opérationnels du Hermes Codex.

Ce répertoire contient des procédures éprouvées pour répondre à divers incidents cyber. Chaque playbook est conçu pour être directement actionnable, fournissant des étapes précises de l’identification jusqu’à la remédiation, incluant des requêtes de chasse aux menaces et la localisation d’artefacts forensiques.

⚡ Triage et Chasse Proactive

Méthodologies pour la qualification rapide des alertes et la découverte proactive des menaces.

Triage d'alerte EDR Méthodologie en 15 minutes pour analyser la filiation des processus et la criticité.

Chasse à la persistance (Threat Hunting) Chasse SIEM/EDR pour les clés de registre, les services et abonnements WMI.

🛡️ Réponses Spécifiques aux menaces

Procédures d’investigation et de confinement étape par étape pour les incidents critiques.

Investigation de ransomware Confinement, identification du patient zéro et suivi de l'extorsion.

Exfiltration par menace interne Traçage des mouvements de données non autorisés via USB ou Cloud.

Analyse d'email suspect Analyse d'en-têtes, vérification SPF/DKIM/DMARC et triage de charge utile.

Business Email Compromise (BEC) Différencier l'usurpation de domaine de la compromission réelle de compte (EAC).

🏛️ Sécurité Active Directory

Guides complets pour détecter et atténuer les vecteurs d’attaque AD les plus critiques.

Attaques sur les Identifiants & Mots de Passe Analyser le Password Spraying, l'AS-REP Roasting et le Kerberoasting.

Mouvement Latéral Détecter les techniques Pass-the-Hash et Pass-the-Ticket.

Persistance & Domination Analyse technique des attaques Golden Ticket, Silver Ticket et DCSync.

Prêt pour l’opérationnel

Ces playbooks sont optimisés pour une utilisation lors d’incidents en cours. Utilisez la barre de recherche (Ctrl+K) pour accéder directement aux règles de détection, aux ID d’événements ou aux étapes d’atténuation.