Lab SOC Active Directory
+Construction d’un lab multi-VM avec Active Directory, Windows, Wazuh, Suricata, TheHive et Cortex afin de générer, centraliser, corréler et traiter des alertes réalistes.
hello
Cybersecurity Student • SOC • Blue Team • Detection Engineering
Fawzi AIT AMARA
Étudiant en cybersécurité à l’Université Claude Bernard Lyon 1, spécialisé dans la détection d’attaques, l’analyse SOC et la construction de labs réalistes autour de Wazuh, Suricata, TheHive et Cortex.
Je conçois des scénarios de détection, je centralise et corrèle des logs, puis j’analyse les alertes dans une logique de triage et d’investigation orientée Blue Team.
email:
tel:
loc:
cat profile.json
Photo / Avatar
FocusDétection & analyse SOC
DisponibilitéAlternance / Stage
StackWazuh • Suricata • TheHive
À propos
whoami
Parti d’un intérêt marqué pour les jeux vidéo et l’informatique, j’ai progressivement orienté ma curiosité vers le fonctionnement des systèmes, des réseaux et du code, jusqu’à me spécialiser dans la cybersécurité.
Aujourd’hui, je développe des projets orientés SOC, Blue Team et détection d’attaques, avec une attention particulière à la collecte de logs, la corrélation SIEM, le triage d’alertes et l’investigation.
ls ./focus
Windows Security Logs
Active Directory
Wazuh SIEM
Suricata IDS
TheHive
Cortex
SOC Triage
MITRE ATT&CK
Projets de détection
Détection d'une tentative de brute force RDP
+Détection d’une tentative de connexion RDP suspecte, corrélée dans le SIEM puis traitée dans la chaîne Wazuh → TheHive → Cortex.
Détection d’un téléchargement suspect via curl
+Détection d’une commande curl suspecte, corrélation endpoint + réseau, enrichissement d’IOC et qualification côté SOC.
Détection de persistance Linux via cron
+Détection d’une persistance Linux via modification de crontab, suivie d’une corrélation avec une activité réseau sortante suspecte.
Détection des accès non autorisés aux identifians
+Détection d’un comportement lié à l’accès à des secrets système, avec analyse endpoint, contexte de privilèges et restitution orientée post-exploitation.
Détection de mouvement latéral
+Détection d’un mouvement latéral dans un environnement Active Directory avec corrélation des authentifications, accès distants et comportement multi-hôtes.
Corrélation d’une kill chain SOC
+Corrélation d’une chaîne d’attaque complète : accès initial, vol d’identifiants, persistance, mouvement latéral et exfiltration.
Compétences
cat soc_skills.md
Détection SOC
01
Création de scénarios de détection, analyse d’alertes, qualification d’événements suspects et restitution claire.
Corrélation SIEM
02
Centralisation de logs, logique de corrélation, hiérarchisation des alertes et amélioration du contexte d’investigation.
Investigation
03
Analyse de journaux Windows/Linux, lecture d’événements réseau, triage SOC et enrichissement d’IOC.
cat tech_stack.md
Wazuh
Suricata
TheHive
Cortex
Windows Event Logs
Sysmon
Linux Logs
Active Directory
MITRE ATT&CK
Regex
Python
Réseaux
Outils
ls ./toolkit
Nmap
scanner
01
Burp Suite
web
02
Wazuh
siem
03
OWASP ZAP
web
04
Wireshark
packet
05
Metasploit
lab
06
Gitleaks
secrets
07
Trivy
supply
08
Suricata
ids
09
TheHive
case mgmt
10
Cortex
ioc enrich
11
Parcours académique
experience.log
tail -n 50 xp.log
Master 1 Informatique
2025 — 2026
Université Claude Bernard Lyon 1
Stage
2024
Eau du Grand Lyon
Licence Informatique
2021 — 2024
Université Claude Bernard Lyon 1
Baccalauréat scientifique
2020
Lycée La Martinière Monplaisir
cat certs.txt
Langues
CEFR
Français natif, anglais intermédiaire technique.
Objectif
2026
Développer une expérience solide en SOC, Blue Team ou Detection Engineering.