# Tour d’horizon des distributions par cas d’usage ### Pour les analystes SOC : supervision, détection, visualisation * **Security Onion Desktop** \ Plateforme open source conçue par et pour les défenseurs, intégrant de quoi réaliser l'analyse de logs, fichier réseu (pcap) et la possibilité de tracé des "cases". Elle offre une détection basée sur les signatures via Suricata, une capture complète des paquets avec Stenographer, une analyse des fichiers avec Strelka, et une gestion centralisée des agents Elastic pour la visibilité hôte. * **Kali Purple**\ Version "défensive" de Kali Linux, Kali Purple embarque une (trop?) vaste collection d'outils couvrant la détection, la réponse aux incidents, la simulation d'attaques, la visualisation, et plus encore. Elle est idéale pour tester les capacités du SOC dans un environnement intégré. * **Parrot Security**\ Distribution polyvalente basée sur Debian, disponible en ISO installable, VM, Docker, WSL, et via un script de conversion Debian. Elle permet de retrouver le même environnement sur différentes plateformes, facilitant ainsi la portabilité et la cohérence des outils. * **Fedora Security Lab**\ Version Fedora allégée avec des outils essentiels pour l’analyse réseau et la sécurité générale.\ Utile pour de l’expérimentation rapide ou des analyses ponctuelles. ### Pour les spécialistes DFIR : forensic, investigation, chronologie * **SIFT Workstation** \ Développée par le SANS Institute, elle intègre les outils forensics de référence tels qu'Autopsy, SleuthKit, Volatility, Plaso, etc. Stable et éprouvée, elle est largement utilisée en formation SANS. * **CAINE** \ Interface graphique centrée sur l’acquisition et l’analyse de disques. Elle supporte les formats forensics usuels, idéale pour les premières missions de réponse à incidents. * **Tsurugi Linux**\ Distribution moderne et riche avec une couverture large : forensic, mémoire, OSINT, etc. Elle offre plusieurs versions : * Tsurugi Linux 64-bit : pour les analyses forensiques complètes. * Tsurugi Acquire 32-bit : version plus légère avec uniquement les outils pour l'acquisition de disques en direct. * Bento : boîte à outils forensique portable pour effectuer des investigations en direct. ### Pour les analystes Threat Intelligence : veille, enrichissement, malwares * **REMnux**\ Distribution spécialisée dans l’analyse de malwares, extraction d’artefacts, reverse léger.\ Inclut YARA, Didier Stevens Suite, CAPE, Ghidra, etc. * **FlareVM (Windows)**\ Environnement Windows packagé avec IDA Free, x64dbg, PEStudio, etc.\ Spécialisé dans l’analyse de binaires Windows. * **Parrot Security**\ Propose un équilibre OSINT/offensif avec des outils légers et pratiques pour de la veille technique. * **Fedora Kinoite** [Système d’exploitation immuable](https://blog.stephane-robert.info/docs/securiser/os-immuable/) avec interface graphique, Fedora Kinoite est conçu pour être très stable et sûr. Il est également une plateforme de choix pour les développeurs et pour les usages centrés autour des conteneurs. \ Permet de redéployer rapidement le même environnement pour tous les personnels d'une équipe. * **Tails** \ Distribution pensée pour l'anonymat en ligne, très utile pour consulter des sites peu fiables. ### Pour les pentesters défensifs / profils Purple Team : simulation, validation, couverture * **Kali Purple** \ Embarque Caldera, Sigma, ATT\&CK Navigator, Wazuh et plus.\ Tout-en-un pour les campagnes adverses simulées. * **CSLinux** \ Distribution pédagogique ([fournit plusieurs formations](https://echothislabs.com)) française avec plusieurs outils pour l'OSINT, l'analyse de malware et la réponse à incident. * **Commando VM (Windows)**\ Complete Mandiant Offensive VM (« CommandoVM ») est une distribution de sécurité complète et personnalisable, basée sur Windows, pour les tests de pénétration et les équipes d'intervention. CommandoVM est livré avec une variété d'outils offensifs qui ne sont pas inclus dans Kali Linux et qui permettent de mettre en valeur l'efficacité de Windows en tant que plateforme d'attaque.