Bien le bonjour à tous! Pour mes investigations, c’est plutôt simple, je collecte les artifacts utiles pour les premiers levés de doutes et ensuite je collecte les images disques et les dumps de RAM
Pour Windows, j’utilise ORC (Outil de Recherche de Compromission) qui est un outil de l’ANSSI que j’ai adapté pour mes besoins
Pour Unix, j’utilise UAC DFIR Linux
Ensuite je construis mes timelines avec Plaso qui fait une sorte de regroupement des artefacts dans un fichiers csv pour faciliter les recherches et trouver les pivots
https://github.com/log2timeline/plaso/issue
Je passe les logs sur splunk et d’autres parser spécialisés souvent développés par Éric Zimmerman
https://ericzimmerman.github.io/#!index.md
N’hésitez pas si vous avez des questions!