Accueil - Notes de terrain BTL1
~/cybersecurite/aurelien-guidi $ cat notes-btl1.md
BTL1 Gold · Security Blue Team

BTL1
Notes de terrain

Référence pratique pour la certification Security Blue Team BTL1 et les opérations d’un SOC de niveau 1. Commandes réelles, méthodes concrètes et contenu directement exploitable.

6 Domaines
24 h Durée de l’examen
Six domaines d’examen et une référence rapide

Chaque domaine contient des aides-mémoires, des références de commandes et des processus d’investigation, ainsi qu’une synthèse pour l’examen.

01 — ANALYSE DU PHISHING
Analyse du phishing
Analyse des en-têtes, interprétation SPF/DKIM/DMARC, neutralisation des URL, triage des pièces jointes et processus PhishTool.
En-têtes de courriel Extraction des IOC PhishTool
02 — RENSEIGNEMENT SUR LES MENACES
Renseignement sur les menaces
Cadre MITRE ATT&CK, pyramide de la douleur, enrichissement des IOC et profilage des acteurs de la menace avec des outils OSINT.
MITRE ATT&CK TTP VirusTotal
03 — INVESTIGATION NUMÉRIQUE
Investigation numérique
Acquisition mémoire, référence des modules Volatility 3, processus Autopsy et analyse des artefacts de disque.
Volatility 3 Autopsy Chaîne de conservation
04 — ANALYSE SIEM
Analyse SIEM
Bibliothèque de requêtes Splunk SPL, référence des ID d’événements Windows, équivalents ELK/KQL et procédures de qualification des alertes.
requêtes Splunk SPL ELK / KQL ID d’événements
05 — ANALYSE RÉSEAU
Analyse réseau
Aide-mémoire des filtres Wireshark, méthode d’analyse PCAP, identification des protocoles et détection du beaconing C2.
Wireshark Filtres d’affichage Détection C2
06 — RÉPONSE AUX INCIDENTS
Réponse aux incidents
Phases du cycle de réponse, commandes de confinement, réponse à chaud sous Windows et collecte structurée des preuves.
Cycle de réponse aux incidents Confinement Réponse à chaud
RÉFÉRENCE RAPIDE — AIDE-MÉMOIRE D’EXAMEN
Aide-mémoire BTL1
Référence rapide des ports courants, IOC de phishing, commandes forensiques, Volatility, Splunk et réponse aux incidents Windows.
VolatilitySplunkPowerShell
Commandes utilisées au quotidien

Les commandes les plus utiles dans les six domaines.

notes-btl1 ~ analyste@soc
vol.py -f dump.mem windows.pslist.PsList # Volatility 3 — lister les processus actifs
vol.py -f dump.mem windows.netscan.NetScan # Volatility 3 — connexions réseau
index=windows EventCode=4625 | stats count by src_ip | sort -count # Splunk — détection de force brute
tcp.flags.syn==1 && tcp.flags.ack==0 # Wireshark — détection d’un scan SYN
strings -n 8 artifact.bin | grep -Ei 'http|powershell|cmd' # Triage statique rapide
sha256sum suspicious.exe # Hachage pour une recherche VirusTotal
Pourquoi ce site existe

Ces notes ont été rassemblées pour fournir une référence pratique pendant la préparation de BTL1 et les investigations en SOC de niveau 1 , avec une orientation détection et réponse aux incidents.

L’objectif n’est pas de remplacer le contenu de la formation, mais de proposer une référence rapide pendant les investigations. Lorsqu’une alerte se déclenche, il faut retrouver immédiatement le nom du module Volatility ou la commande utile, sans relire un long chapitre théorique.

Ce site peut être utilisé comme support de préparation à BTL1 et comme aide opérationnelle en SOC.

AuteurAurelien Guidi
RôleSecurity Specialist
CertificationBTL1
FocusVulnerability Management - Detection - SOC