Cyber Shelf

// Comparaison

Incident Response and Computer Forensics vs Practical Linux Forensics : lequel lire ?

Deux livres de cybersécurité sur Forensics, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52014
Incident Response and Computer Forensics

Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.

Intermédiaire
4/52021
Practical Linux Forensics

A Guide for Digital Investigators

Bruce Nikkel

La référence de Bruce Nikkel pour les analystes forensiques travaillant en post-mortem sur des images Linux : systèmes de fichiers, journalisation, logs, emplacements de persistance et la discipline chain of custody autour.

À lire si

Incident responders junior à senior, leads SOC et CISO qui ont besoin de la référence cross-discipline canonique sur ce à quoi ressemble un vrai programme IR de bout en bout. Le plus fort comme primer structurel — le modèle de maturité implicite dans le livre est encore la baseline de fait du champ.
Incident responders et analystes forensiques travaillant sur des systèmes Linux modernes. Nikkel couvre les internals ext4 / XFS / Btrfs, la journalisation systemd, les emplacements de persistance et la discipline chain-of-custody qui distingue la preuve des notes. La référence post-systemd dont le champ avait besoin.

À éviter si

Lecteurs voulant le tradecraft actuel sur la réponse aux attaques d'identité (AAD, abus OAuth, golden SAML), l'IR cloud spécifiquement, ou la traque moderne pilotée EDR ; le livre est largement on-prem 2014. À coupler avec des ressources cloud-IR spécifiques (blog Mandiant, runbooks AWS / Azure incident response) pour la couche manquante.
Analystes forensiques Windows-only, ou débutants sans expérience IR. Le livre suppose la fluidité système de fichiers et le confort en ligne de commande forensique.

Points clés

  • La préparation est l'engagement : la majeure partie de ce qui détermine l'issue d'une IR est décidée avant que l'appel n'arrive.
  • La discipline acquérir-puis-analyser tient encore ; couper ce coin est ce qui produit les rétrospectives à mauvais titre.
  • Les chapitres gestion de projet du livre sont la moitié sous-estimée — la plupart des réponses ratées sont des échecs de management, pas techniques.
  • La forensique Linux moderne n'est pas juste « parser syslog » ; systemd, journald et le passage aux conteneurs basés overlay ont chacun créé de nouvelles classes d'artefacts.
  • Le chapitre sur l'énumération de persistance est le plus net en imprimé ; cron, timers systemd, init.d, profile files, tous nommés.
  • La plupart des charges cloud sont Linux, ce qui signifie que la majeure partie de la forensique d'incident cloud est de la forensique Linux ; le livre est la bonne référence de départ.

Comment ils se comparent

Incident Response and Computer Forensics et Practical Linux Forensics sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Incident Response and Computer Forensics et Practical Linux Forensics couvrent tous les deux Forensics, Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Incident Response and Computer Forensics

Alternatives à Incident Response and Computer ForensicsQue lire après Incident Response and Computer Forensics

Practical Linux Forensics

Alternatives à Practical Linux ForensicsQue lire après Practical Linux Forensics

Thématiques liées

ForensicsDefensive