Lab SOC AD end-to-end

SOC Lab Architecture
cat case.md

Projet SOC / Blue Team

Lab SOC AD end-to-end

Construction d’un environnement SOC complet permettant de simuler des attaques réalistes, collecter les logs, corréler les événements et générer des incidents exploitables par un analyste SOC.

AD DS Windows 11 Wazuh Suricata TheHive Cortex
← Retour aux projets
more details.txt

Objectif

goal

Construire une chaîne complète signal → SIEM → alerte → triage afin de tester des détections dans des conditions proches d’un SOC réel.

Architecture

arch

Le lab comprend plusieurs machines virtuelles : Wazuh (SIEM), Suricata (IDS), TheHive + Cortex (gestion et enrichissement d’incidents), ainsi qu’un domaine Active Directory avec des postes Windows générant les logs.

Travaux réalisés

build

Installation du domaine Active Directory, intégration des machines, déploiement des agents Wazuh, configuration de la collecte des logs Windows Security et validation de la normalisation des événements.

Pipeline SOC

pipeline

Les événements sont générés côté Windows et réseau, collectés par Wazuh, corrélés avec les alertes Suricata puis envoyés vers TheHive pour la gestion d’incident et enrichis via Cortex.

cat architecture.md

Architecture du Lab SOC

Le laboratoire reproduit une architecture SOC simplifiée permettant de tester des scénarios d’attaque réalistes.

  • Windows Server (AD DS) — contrôleur de domaine générant des événements d’authentification.
  • Postes Windows — machines jointes au domaine générant des logs utilisateurs.
  • Wazuh — SIEM central pour la collecte et corrélation des logs.
  • Suricata — IDS réseau analysant le trafic et détectant les attaques.
  • TheHive — plateforme de gestion d’incidents SOC.
  • Cortex — enrichissement automatique des IOC via Threat Intelligence.
cat detection_flow.md

Chaîne de détection SOC

  1. Event Generation
    Les événements sont générés sur les hôtes Windows et via le trafic réseau.
  2. Log Collection
    Les logs système et sécurité sont collectés par les agents Wazuh.
  3. Correlation
    Wazuh applique des règles pour détecter des comportements suspects.
  4. Alerting
    Une alerte est générée lorsqu’un comportement malveillant est détecté.
  5. Incident Creation
    Les alertes critiques créent automatiquement un incident dans TheHive.
  6. Threat Intelligence
    Les IOC sont enrichis automatiquement via Cortex.
ls attack_scenarios/

Scénarios d’attaque simulés

RDP Brute Force

Simulation de multiples tentatives d’authentification échouées détectées via les logs Windows Security.

Network Exfiltration

Exfiltration simulée avec curl détectée par Suricata.

Persistence via Cron

Ajout d’une tâche planifiée malveillante détectée par Wazuh.

cat skills.md

Compétences démontrées

  • Déploiement d’une infrastructure SOC
  • Configuration d’un SIEM (Wazuh)
  • Analyse des logs Windows Security
  • Détection d’attaques réseau avec Suricata
  • Corrélation d’événements SIEM
  • Gestion d’incidents avec TheHive
  • Enrichissement IOC avec Cortex
  • Automatisation de réponse (Active Response)