JeanluckCyberinsights

Infrastructure Cible & Administration

Pilier de notre lab SOC, cette sous-section détaille les composants clés de notre environnement d'entreprise simulé.

Windows Server 2022 (DC/DNS/DHCP)

Le cœur de notre infrastructure Active Directory.

Ce contrôleur de domaine Windows Server 2022 a été méticuleusement configuré pour émuler une infrastructure d'entreprise réaliste. Il intègre nativement Active Directory pour une gestion granulaire des utilisateurs, des groupes et, crucialement pour nos simulations, des GPO (Group Policy Objects). L'intégration des services DNS et DHCP assure une résolution de noms et une attribution d'adresses IP cohérentes au sein du réseau, des éléments souvent ciblés lors d'attaques réelles.

Instrumentation pour la Télémétrie SOC : J'ai instrumenté ce serveur avec Sysmon. Cette instrumentation est fondamentale pour un analyste SOC car elle nous fournit une télémétrie événementielle de bas niveau et détaillée. Cela nous permet de simuler et d'analyser des attaques d'élévation de privilèges complexes, telles que le Pass-the-Hash et le Kerberoasting. En examinant les logs générés par Sysmon, nous pouvons étudier précisément les traces d'authentification, les mouvements latéraux via des outils comme Impacket, et développer des règles de détection robustes pour ces techniques adverses. C'est notre point d'observation privilégié pour comprendre le comportement des menaces internes et externes.

Objectifs SOC & Apprentissage

Comprendre, Détecter, Réagir.

Cette infrastructure n'est pas seulement un environnement technique ; c'est un terrain d'entraînement stratégique pour tout analyste SOC. Nos objectifs incluent :

Analyse de Logs Avancée : Maîtriser l'interprétation des événements Sysmon, de l'Active Directory et des logs réseau pour identifier les activités suspectes.
Détection de Menaces : Développer et tester des règles de détection (par exemple, avec Sigma ou YARA) basées sur les TTPs (Tactics, Techniques, and Procedures) des attaquants.
Réponse aux Incidents : Simuler des scénarios d'incidents pour pratiquer les étapes de confinement, éradication et récupération.
Familiarisation avec les Outils : Acquérir une expertise pratique avec des outils open-source et commerciaux utilisés par les attaquants et les défenseurs.

Chaque composant de ce lab est conçu pour renforcer nos compétences analytiques et opérationnelles en matière de cybersécurité.

Architecture Détaillée du Lab : Détection & Cibles Applicatives

Focus sur nos capacités de "Blue Team" et nos plateformes de test d'attaques web.

Ubuntu Server LTS (ELK, Wazuh, Web Apps)

Le cœur de nos capacités de "Blue Team" et nos cibles d'entraînement web.

Ce serveur Ubuntu LTS (Long Term Support) constitue la pierre angulaire de nos capacités de Blue Team. Il est configuré pour une surveillance robuste et l'analyse de données de sécurité. C'est ici que nos équipes SOC s'entraînent à la détection et à la réponse.

Stack ELK (Elasticsearch, Logstash, Kibana) :

J'ai méticuleusement hébergé la stack ELK pour l'ingestion centralisée, l'analyse et la visualisation de logs. Cela inclut les logs système, les logs applicatifs et, surtout, les logs de sécurité provenant de nos endpoints et de l'infrastructure réseau. Kibana nous fournit des tableaux de bord interactifs essentiels pour la chasse aux menaces (threat hunting) et l'investigation des incidents.

Wazuh (SIEM/EDR Open-Source) :

Pour une surveillance des endpoints en temps réel, j'ai déployé Wazuh. Ce SIEM/EDR open-source est configuré pour le File Integrity Monitoring (FIM), la détection de vulnérabilités, l'analyse de la configuration système, et la détection d'anomalies de comportement. Il nous permet d'avoir une visibilité profonde sur l'activité des hôtes, cruciale pour détecter les menaces internes ou les compromissions d'endpoints.

Hébergement d'Applications Web Vulnérables :

Le serveur Ubuntu sert également d'hôte pour des applications web intentionnellement vulnérables, notamment Nginx avec OWASP DVWA (Damn Vulnerable Web Application). Cela nous permet de simuler des attaques web courantes (ex: Injections SQL, XSS, Inclusion de Fichiers) dans un environnement contrôlé. L'objectif est d'observer leurs empreintes dans les logs, de comprendre comment les WAF (Web Application Firewalls) fonctionnent (ou non), et de développer des règles de détection spécifiques à ces vecteurs d'attaque. C'est un terrain de jeu inestimable pour nos tests d'intrusion et nos exercices de défense applicative.

Visuels Clés du Lab SOC

Une galerie d'images pour illustrer concrètement les différents composants et outils de notre lab.

Vue d'ensemble du Lab

Illustration de l'environnement de travail typique d'un analyste SOC, tel qu'émulé dans notre lab.

Interface Windows Server 2022

Interface utilisateur de notre contrôleur de domaine, montrant par exemple la console Server Manager ou Active Directory Users and Computers.

Configuration GPO

Exemple d'une capture d'écran d'une GPO spécifique configurée pour des tests de sécurité (par exemple, des restrictions de logiciel ou des politiques de mot de passe).

Télémétrie Sysmon

Visualisation des événements Sysmon (par exemple, dans l'Observateur d'événements Windows ou un SIEM), montrant la richesse des données collectées.

Outil de Simulation d'Attaque (Impacket)

Capture d'écran de l'utilisation d'un outil comme Impacket, démontrant un mouvement latéral ou une tentative d'élévation de privilèges.

Tableau de bord Kibana

Un aperçu de notre interface de visualisation de logs centralisée via Kibana.

Console Wazuh

Vue de la console de gestion Wazuh, montrant l'état des agents ou les alertes de sécurité.

OWASP DVWA

L'interface de l'application web délibérément vulnérable utilisée pour nos tests d'attaques web.

Jeanluck Cyber Insights

Mon Lab SOC : Infrastructure, Détection & Visualisation