VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise
🛡️ Contexte Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 Fonctionnalités principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable : Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.) Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2 Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 Bibliothèque de 28 cas d’usage pré-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée : ...