Home Lab SOC Analyste

Plongez au cœur du laboratoire de cybersécurité personnel, une infrastructure avancée que j'ai conçue pour la simulation, la détection et l'analyse d'incidents. En tant que Chercheur en Cyber et SOC Analyst, ce lab est essentiel pour affûter les compétences en réponse à incident et en chasse aux menaces.

C'est Home Lab de SOC Analyste est un project Perso et Une Infrastructure de Cyberdéfense Active, je suis conscient qu'il n'est pas parfait...

Développement Continu

Laboratoire Personnel de Cybersécurité

Aperçu du Lab (Page Actuelle)

Sécurité Opérationnelle Détection d'Incidents Blue Team Red Team Analyse Forensique Pentesting Cyber-veille Active Directory Security Threat Hunting

Technologies & Concepts Clés :

**Windows Server (2022)** **Active Directory** **DNS & DHCP** **GPO** **Sysmon** **PowerShell** **Ubuntu Server LTS** **ELK Stack (Elasticsearch, Logstash, Kibana)** **Wazuh (SIEM/EDR)** **Apache/Nginx** **OWASP DVWA/Juice Shop** **Kali Linux** **Metasploit Framework** **Nmap** **Burp Suite (Community)** **Responder.py** **Impacket** **CrackMapExec (CME)** **VirtualBox** **Réseaux Internes & NAT** **MITRE ATT&CK**

Image du Background du Home Lab de cybersécurité

Image d'un diagramme d'architecture réseau détaillé du Home Lab de cybersécurité

Image d'un tableau de bord de détection d'incidents et d'analyse de logs sur Kibana

Image d'une attaque simulée depuis Kali Linux, montrant Metasploit en action

Capture d'écran de l'interface de gestion des alertes Wazuh

Objectif du Lab : Maîtrise de la Cyberdéfense et Cyberattaque

Ce laboratoire est un terrain de jeu et d'apprentissage privilégié. Il permet de simuler des scénarios d'attaques réels (APT), d'analyser en profondeur les comportements malveillants, et de développer les stratégies de détection et de réponse efficaces** en accord avec les TTPs (Tactics, Techniques, and Procedures) du MITRE ATT&CK Framework.

En tant que SOC Analyst, il est impératif de comprendre non seulement comment les attaques se déroulent, mais aussi les traces qu'elles laissent sur les systèmes. J'ai configuré ce lab pour collecter une grande variété de logs et d'événements (Sysmon, Security Events, Authentication Logs), offrant une source de données riche pour l'entraînement à la chasse aux menaces (Threat Hunting), la validation de règles de corrélation SIEM (ELK Stack) et la mise en œuvre de réponses automatisées.

50+

Scénarios d'Attaque Testés (Basés MITRE ATT&CK)

30+

Règles de Détection & Corrélation Développées (ELK)

24/7

Collecte de Logs Continue & Surveillance SIEM

79%

Taux de Disponibilité du Lab pour la Recherche, vis qu'il aurais des chose a maudifier

Le Défi : Simuler une Infrastructure d'Entreprise Sécurisée

La difficulté majeure que j'ai rencontrée réside dans la reproduction fidèle des architectures d'entreprise, y compris les **réseaux segmentés**, la gestion d'**Active Directory complexe**, et l'intégration de **techniques d'attaque avancées (APT)**. Cela a demandé une configuration précise et une veille constante sur les nouvelles menaces et outils pour assurer une **simulation réaliste**.

La Solution : Une Architecture Modulaire et Instrumentée

En construisant un lab **modulable et instrumenté** avec des environnements dédiés (**AD, SIEM, Red Team, Cibles Vulnérables**), j'ai pu isoler les tests, garantir la persistance des données et valider l'efficacité de mes outils de détection (ELK, Wazuh) face à des menaces spécifiques. Cette approche a permis une **analyse forensique approfondie** et le développement de **playbooks de réponse à incident**.

Composants Clés

Architecture Détaillée du Lab

Image d'un serveur Windows Active Directory Principal

Infrastructure Cible & Administration

Windows Server 2022 (DC/DNS/DHCP)

Pilier de du lab, **j'ai configuré** ce contrôleur de domaine **Windows Server 2022** pour émuler une infrastructure d'entreprise. Il intègre **Active Directory** pour la gestion des utilisateurs, groupes et **GPO (Group Policy Objects)**, un serveur **DNS** et **DHCP**. **Je l'ai instrumenté** avec **Sysmon** pour une télémétrie événementielle détaillée, essentielle pour simuler des attaques d'élévation de privilèges (ex: Pass-the-Hash, Kerberoasting ) et étudier les traces d'authentification et de mouvement latéral via Impacket.

Image d'un serveur Ubuntu avec l'ELK Stack et Wazuh

Détection & Cible Application

Ubuntu Server LTS (ELK, Wazuh, Web Apps)

Ce serveur Ubuntu est le cœur de capacité de Blue Team. J'y ai hébergé la stack ELK (Elasticsearch, Logstash, Kibana) pour l'ingestion, l'analyse et la visualisation des logs système et de sécurité. J'y ai également déployé Wazuh, un SIEM/EDR open-source, pour une surveillance des endpoints en temps réel (FIM, vulnérabilités, détection d'anomalies). Il sert aussi d'hôte pour des applications web vulnérables Nginx avec OWASP DVWA pour simuler des attaques web et observer leurs empreintes.

Image d'une machine d'attaque Kali Linux avec des outils de pentesting

Offensive Security & Pentesting

Kali Linux (Red Team Workstation)

La plateforme offensive dédiée à la Red Team. Cette un VM machine Kali, que j'ai configurée, est équipée des outils de pentesting et de red team standards, y compris Metasploit Framework (pour l'exploitation), Nmap (pour la reconnaissance réseau et les scans de vulnérabilités), Burp Suite Community Edition (pour l'analyse d'applications web), Impacket (pour les interactions avec l'Active Directory), et CrackMapExec (CME) (pour l'énumération AD). Elle me permet de simuler des attaques réalistes contre l'Active Directory, les serveurs web et les postes clients, et de valider l'efficacité des règles de détection et des capteurs de logs sur mes SIEM (ELK/Wazuh).

Image d'un poste de travail Ubuntu Desktop

Infrastructure Cible & Endpoint

Ubuntu Desktop (Endpoint Client)

Ce poste de travail Ubuntu simule un endpoint utilisateur standard au sein du réseau du lab. Je l'ai configuré pour interagir avec le Contrôleur de Domaine Windows Server (via DNS et DHCP) et l'application web vulnérable. Il est instrumenté avec l'agent Wazuh pour une surveillance et une collecte de logs fines (activités système, connexions réseau, tentatives d'authentification). Il sert de cible pour les attaques client-side exécution de payload et pour observer la persistance et le mouvement latéral dans l'environnement.

Les Processus

Les Étapes de Réalisation du Lab

1. Planification et Conception de l'Architecture

J'ai commencé par définir mes objectifs (simuler des scénarios Red/Blue Team), puis j'ai sélectionné les technologies (VirtualBox pour l'hyperviseur, OS, outils SIEM/offensifs). Ensuite, j'ai élaboré un diagramme d'architecture réseau. J'ai mis en place un réseau interne isolé pour les VMs et un adaptateur NAT pour l'accès à internet (nécessaire pour les mises à jour).

2. Déploiement des Machines Virtuelles & Configuration de Base

Windows Server 2022 (AD/DNS/DHCP) : J'ai installé le rôle de contrôleur de domaine, configuré un domaine Active Directory, et créé les unités d'organisation (OU), les utilisateurs et les groupes nécessaires. J'ai également mis en place les serveurs DNS et DHCP.
Ubuntu Server LTS (ELK/Wazuh/Web) : J'ai réalisé une installation minimale d'Ubuntu Server. Puis, j'ai déployé la stack ELK (Elasticsearch, Logstash, Kibana)** et configuré les index pour mes logs. J'ai aussi installé **Wazuh Server** et son interface Web. Enfin, j'ai déployé un serveur web Nginx avec des applications vulnérables comme OWASP DVWA pour les tests.
Kali Linux : J'ai installé Kali Linux et vérifié que tous les outils essentiels comme Metasploit, Nmap, Burp Suite, Impacket, Responder.py et CME étaient bien présents et fonctionnels.
Ubuntu Desktop : J'ai installé Ubuntu Desktop et l'ai joint au domaine Active Directory pour simuler au plus près un poste client d'entreprise.

3. Instrumentation des Endpoints et Collecte de Logs

Pour une visibilité maximale, j'ai installé et configuré des agents de collecte de logs :

Sysmon sur Windows Server et Ubuntu Desktop : J'ai déployé Sysmon avec une configuration avancée que j'ai peaufinée pour capturer les événements processus, réseau, fichiers et registres critiques.
Winlogbeat/Filebeat sur Windows Server et Ubuntu Desktop : J'ai configuré ces agents pour qu'ils poussent tous les logs Windows (Security, System, PowerShell, Sysmon) et Linux vers mon Logstash (ELK).
Agents Wazuh : J'ai installé les agents Wazuh sur Windows Server, Kali Linux et Ubuntu Desktop pour une surveillance en temps réel et la collecte d'alertes via le système HIDS/SIEM intégré de Wazuh.

4. Développement de Mes Règles de Détection & Tableaux de Bord SIEM

Dans Kibana (ELK Stack) et l'interface Web de Wazuh, j'ai :

Créé des index patterns et des alias pour faciliter les recherches de logs.
Développé des requêtes de recherche avancées et des règles de détection personnalisées basées sur les TTPs du MITRE ATT&CK** (par exemple, la détection de Pass-the-Hash, de scans Nmap, de tentatives de force brute sur l'AD, ou d'accès anormaux aux applications web).
Conçu des tableaux de bord (dashboards) visuels pour une surveillance rapide de mes indicateurs clés (événements de sécurité, activités des utilisateurs, alertes SIEM).
Mis en place des alertes par seuil ou corrélation pour être notifié des activités suspectes.

5. Exécution des Scénarios d'Attaque et Validation

En utilisant Kali Linux, j'ai simulé une série d'attaques ciblées :

Reconnaissance : Scans Nmap, énumération d'AD avec CrackMapExec.
Accès Initial : Exploitation d'une vulnérabilité web sur DVWA/Juice Shop (avec Burp Suite), ou exploitation d'un service vulnérable sur Windows Server via Metasploit.
**Exécution :** Exécution de PowerShell via C2 tests de persistance.
Élévation de Privilèges : Utilisation d'outils comme BloodHound (pour l'analyse d'AD) et certains application de techniques basées sur des vulnérabilités locales sur mes cibles.
Mouvement Latéral : Tentatives d'accès à d'autres machines du réseau via SMB, RDP ainsi qu'une exécution de Responder.py pour capturer des identifiants.
Exfiltration de Données : Simulation de transfert de données hors du réseau.

Après chaque attaque, j'ai analysé méticuleusement les logs dans ELK et Wazuh pour valider la détection, affiner les règles et comprendre les traces forensiques laissées.

6. Documentation et Amélioration Continue

Je maintiens une documentation de ce lab (topologie, configurations, règles de détection). Je suis également en veille technologique constante pour intégrer de nouveaux outils et simuler les menaces émergentes, assurant ainsi que ce project reste à la pointe.

Bénéfices Clés de ce Home Lab : Impact et Développement de Mes Compétences

Maîtrise des Kill Chains & TTPs (MITRE ATT&CK)

J'ai acquis une compréhension approfondie des tactiques, techniques et procédures (TTPs) utilisées par les attaquants, que j'ai cartographiées avec le framework MITRE ATT&CK. Cela me permet une meilleure anticipation des menaces et l'élaboration de contre-mesures efficaces.

Validation des Règles SIEM & Playbooks de Réponse

Je teste et affine constamment mes règles de détection et de corrélation dans ELK pour minimiser les faux positifs et maximiser la pertinence de mes alertes. Je développe également mes playbooks de réponse à incident basés sur des scénarios réels.

Amélioration de la Réponse à Incident & Forensique Numérique

Je m'entraîne de manière pratique à la réponse face à des incidents simulés, du confinement à l'éradication et la récupération. J'acquiers des compétences solides en forensique numérique par l'analyse des traces d'attaques sur mes endpoints et mon SIEM.

Automatisation & Scripting pour l'Opérationnel

Je développe et teste des scripts PowerShell pour l'administration sécurisée de Windows Server, ainsi que des scripts Python sur Kali pour automatiser la reconnaissance, l'exploitation et la gestion des logs, augmentant ainsi mon efficacité opérationnelle.

Maitrise des Outils de Surveillance et de Collecte de Logs

J'ai développé une expertise dans l'implémentation et la gestion d'outils comme Sysmon (Windows), les gents Filebeatet Winlogbeat (pour ELK), et les agents Wazuh, garantissant une visibilité complète sur les activités de réseau et des endpoints.

Compréhension Approfondie de l'Architecture Réseau & AD

J'ai une connaissance pratique approfondie des interactions entre les composants du réseau (DNS, DHCP) et de la complexité d'Active Directory. Cela me permet une meilleure évaluation des risques et une architecture de sécurité plus robuste.

L'Impact

Les Résultats Clés et Conclusion

Ce Home Lab est bien plus qu'un simple ensemble de machines virtuelles ; il représente une plateforme d'apprentissage dynamique et un atout majeur pour affiner les compétences en cybersécurité. Il permet de transformer la théorie en pratique concrète, en offrant un environnement contrôlé pour expérimenter les menaces et les défenses.

Démonstration des Capacités Acquises :

Détection Avancée des Menaces : J'ai développé ma capacité à identifier des activités malveillantes complexes (mouvement latéral, exécution de code à distance, élévation de privilèges) grâce à des règles de corrélation SIEM finement réglées et à l'analyse de logs détaillés (Sysmon, Wazuh).
Réponse à Incident Efficace : J'ai acquis la maîtrise des étapes de la réponse à incident, de la détection initiale à l'éradication, en passant par le confinement et l'analyse post-incident, le tout en utilisant les outils du lab.
Compréhension Holistique des Attaques : J'ai obtenu une vision complète du cycle de vie des attaques, depuis la perspective de l'attaquant (Red Team) jusqu'à celle du défenseur (Blue Team), ce qui permet de mieux anticiper et de renforcer les défenses.
Optimisation des Outils SIEM : J'ai prouvé ma compétence dans le déploiement, la configuration et l'optimisation des SIEM open-source (ELK, Wazuh) pour une visibilité maximale et une réduction des faux positifs.
Administration Sécurisée des Systèmes : J'ai mis en pratique l'administration sécurisée de Windows Server et de l'Active Directory, incluant la gestion des GPO et l'implémentation de la télémétrie de sécurité.

En conclusion, ce Home Lab est une preuve tangible de ma passion pour la cybersécurité et de ma capacité à construire, instrumenter et opérer des infrastructures de sécurité complexes. Il m'a permis de rester à la pointe des techniques de cyberdéfense, de développer de nouvelles règles de détection et de garantir une préparation opérationnelle continue face aux menaces émergentes.

C'est un investissement continu dans mes compétences, directement applicable aux défis de sécurité rencontrés dans un environnement d'entreprise.