soc@lab:~
$ sudo systemctl status splunk
● splunk.service
Active: active (running)
 
$ fail2ban-client status sshd
Currently banned: 3
Total banned: 17
 
$ curl localhost:9200
"You Know, for Search"
 
$
Mastère Cybersécurité — 5A

Conception &
Intégration d'un SoC

Security Operations Center

Travaux pratiques guidés sur 5 jours pour concevoir, déployer et opérer un SOC complet avec centralisation des journaux, détection d'intrusion et visualisation des incidents.

⏱ Durée 5 jours
·
🎓 Niveau M2
·
🖥️ VMs 2 → 4
·
🔧 Stack ELK + Splunk
Architecture du lab
VM SOC Ubuntu 22.04 · 4 Go RAM Splunk Enterprise :8000 Logstash :5514 Elasticsearch Suricata (J3) Wazuh (J3) :9997 UF · :9514 rsyslog · :5514 Logstash :1514 Wazuh · :9200 Elasticsearch :22 SSH · UFW activé 192.168.91.10 (NAT VMware) VM LINUX CIBLE Ubuntu 22.04 · 2 Go RAM Splunk Universal Forwarder SSH :22 Apache :80 Fail2ban Wazuh Agent 192.168.91.20 (NAT VMware) VM WINDOWS (J3) Win 10/Server · RDP :3389 · Wazuh Agent 192.168.91.30 (NAT VMware) VM KALI (J5 UNIQUEMENT) Nmap · Hydra · Metasploit · curl Brute-force · Port scan · LFI 192.168.91.40 (NAT VMware) :9997 rsyslog :9997 attaques LÉGENDE Splunk Forwarder (:9997) rsyslog / Wazuh Attaques simulées (J5) VMs inactives (selon le jour)
Programme des travaux pratiques
Jour 01
DISPONIBLE
Centralisation des journaux
rsyslog · Logstash · Elasticsearch · Splunk
rsyslog Logstash Elasticsearch Splunk Enterprise SPL GROK
7h · 2 TPs · 2 VMs
Ouvrir
Jour 02
DISPONIBLE
SIEM & Première détection
Splunk Forwarder · Fail2ban
Splunk UF Fail2ban inputs.conf linux_secure jails UFW
7h · 2 TPs · 2 VMs
Ouvrir
Jour 03
DISPONIBLE
Sondes de détection
Suricata NIDS · Wazuh HIDS
Suricata Wazuh NIDS HIDS local.rules FIM
7h · 2 TPs · 2 VMs
Ouvrir
Jour 04
DISPONIBLE
Restitution & Dashboards
KPI · Visualisation · Alertes · Rapports
Dashboards Alertes SPL KPI SMTP PDF report
7h · 3 TPs · VM SOC
Ouvrir
Jour 05
PROCHAINEMENT
Projet intégrateur
Architecture complète · Attaques simulées · Soutenance
Kali Linux Metasploit Hydra SOC complet taux couverture rapport
7h · Projet · 4 VMs
🔒 Bientôt
Outils du cours
📡
rsyslog
Jour 1
⚙️
Logstash
Jour 1
🔍
Elasticsearch
Jour 1
📊
Splunk
Jour 1 → 5
📦
Splunk UF
Jour 2
🚫
Fail2ban
Jour 2
🌐
Suricata
Jour 3
🛡️
Wazuh
Jour 3
💀
Kali / Hydra
Jour 5
Ressources & téléchargements
📊
Splunk Enterprise
v10.2.2 · Linux amd64 · ~250 Mo
Jour 1
Installer sur la VM SOC — interface web :8000, indexer :9997
wget
wget -O splunk-10.2.2-linux-amd64.deb "https://download.splunk.com/products/splunk/releases/10.2.2/linux/splunk-10.2.2-80b90d638de6-linux-amd64.deb"
⬇ Télécharger
📦
Splunk Universal Forwarder
v10.2.2 · Linux amd64 · ~30 Mo
Jour 2
Installer sur la VM cible (Jour 2) et la VM SOC (Jour 3)
wget
wget -O splunkforwarder-10.2.2-linux-amd64.deb "https://download.splunk.com/products/universalforwarder/releases/10.2.2/linux/splunkforwarder-10.2.2-979a540794c5-linux-amd64.deb"
⬇ Télécharger
Commandes de diagnostic rapide
Vérifier l'état des services à tout moment
VM SOC
Splunksudo /opt/splunk/bin/splunk status
Elasticsearchcurl -s localhost:9200 | python3 -m json.tool | grep tagline
Logstashsudo systemctl status logstash
Suricatasudo systemctl status suricata
Wazuh Mgrsudo /var/ossec/bin/agent_control -l
Disquedf -h /
VM Cible
Splunk UFsudo /opt/splunkforwarder/bin/splunk status
rsyslogsudo systemctl status rsyslog
Fail2bansudo fail2ban-client status
Wazuh Agentsudo /var/ossec/bin/wazuh-control status
Apachesudo systemctl status apache2
IP NATip a | grep "inet 192"