VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise

Sun, 05 Apr 2026 00:00:00 +0000

🛡️ Contexte

Publié le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de réponse à incident (DFIR) open-source développé en Go, conçu pour les équipes de sécurité en entreprise. Il se présente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux.

🔧 Fonctionnalités principales

VanGuard consolide l’ensemble du cycle de vie IR dans un seul exécutable :

Triage rapide : collecte de 20+ catégories d’artefacts Windows et 15+ Linux (processus, logs, tâches planifiées, historique navigateur, registre, connexions réseau, etc.)
Threat Hunting : intégration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; détection de LOLBins, autoruns suspects, DLL hijacking, unités systemd rogues, binaires SUID, patterns C2
Forensique mémoire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3
Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux)
Opérations Velociraptor : gestion complète du cycle de vie serveur/agent, déploiement via WinRM/SSH/PSExec, VQL, hunts
Opérations distantes : exécution simultanée sur plusieurs endpoints, authentification NTLM/SSH/PSExec
Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique

📋 Bibliothèque de 28 cas d’usage pré-construits

Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sévérité et une collecte d’artefacts phasée :

UAC on CyberVeille

VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise

🛡️ Contexte

🔧 Fonctionnalités principales

📋 Bibliothèque de 28 cas d’usage pré-construits