Explication complète de l’architecture déployée : Rôle des services, outils, et

relations entre eux

Voici une vue détaillée et simplifiée de ton architecture, ses composants, et comment tout
fonctionne ensemble. Nous allons couvrir chaque zone (LAN, DMZ, SOC), expliquer le rôle
des services et outils (HIDS, NDR, SIEM, etc.), ainsi que leurs interactions.

1. Vue d’ensemble de l’architecture

Ton infrastructure est divisée en zones réseau interconnectées via des firewalls (pfSense) :

1. Zone LAN :
o Contient les machines utilisateur comme une machine Windows avec un
antimalware.
o Ces machines doivent être surveillées pour détecter les intrusions, les
anomalies, et les menaces locales.
2. Zone DMZ :
o Contient des serveurs exposés à l’extérieur, comme un serveur web et un
serveur mail.
o Ces serveurs doivent être sécurisés, surveillés, et isolés pour limiter les risques
d’intrusions venant de l’extérieur.
3. Zone SOC (Security Operations Center) :
o Cœur de l’infrastructure où tous les événements (logs, alertes) sont collectés,
analysés, et surveillés.
o Contient plusieurs composants pour la détection, la réponse et le monitoring :
 HIDS (OSSEC) : Analyse des journaux et détection des intrusions
locales.
 NDR (Suricata, Sysmon) : Analyse du trafic réseau pour détecter des
anomalies ou des attaques.
 SIEM (Wazuh) : Centralisation, analyse, et corrélation des événements
de sécurité.
 Zabbix : Monitoring en temps réel des performances et du bon
fonctionnement des systèmes et services.
4. Firewalls (pfSense) :
o Relient et segmentent les zones (LAN, DMZ, SOC).
o Contrôlent le trafic réseau pour autoriser uniquement ce qui est nécessaire (par
exemple : OSSEC via le port 1514/UDP).

2. Rôle des outils et services par zone

A. Zone LAN (Windows + Antimalware)

1. Composants de la zone :
o Machine Windows :
 Utilisée par les utilisateurs finaux.
  Possède un agent OSSEC (HIDS) pour surveiller les journaux locaux
(ex. : connexions utilisateur, logs système).
o Antimalware :
 Fournit une couche de protection locale contre les malwares et les
virus.
2. Rôles dans cette zone :
o OSSEC Agent collecte les journaux Windows (ex. : logs d’événements,
tentatives d’accès SSH, modifications de fichiers critiques).
o Ces journaux sont envoyés au Manager OSSEC (dans le SOC) pour analyse.
o pfSense assure que seul le trafic autorisé entre LAN et SOC passe (comme le
port 1514/UDP pour OSSEC).
3. Relations :
o Windows → envoie les logs → OSSEC Manager (SOC).
o pfSense LAN/SOC → contrôle le trafic.

B. Zone DMZ (Serveur Web et Serveur Mail)

1. Composants de la zone :
o Serveur Web :
 Héberge des services web exposés à Internet.
 Possède un agent OSSEC pour surveiller les fichiers critiques et les
journaux des serveurs web (Apache, Nginx).
o Serveur Mail :
 Fournit des services de messagerie (SMTP, IMAP, etc.).
 Possède un agent OSSEC pour surveiller les logs de messagerie
(Postfix, Dovecot, etc.).
2. Rôles dans cette zone :
o OSSEC Agent surveille les fichiers critiques et les journaux pour détecter des
anomalies (ex. : tentatives de login, modifications non autorisées).
o Suricata (NDR) :
 Analyse le trafic réseau entrant/sortant dans la DMZ pour détecter des
scans de ports, des attaques par déni de service, ou d’autres
comportements suspects.
o pfSense entre DMZ et SOC contrôle :
 Les connexions entre les serveurs DMZ et le SOC.
 Les connexions entrantes depuis Internet (en les filtrant).
3. Relations :
o OSSEC Agent (Serveur Web/Mail) → envoie les logs → OSSEC Manager
(SOC).
o Suricata → surveille le trafic réseau → SIEM (Wazuh).

C. Zone SOC (HIDS, NDR, SIEM, Monitoring)

Le SOC centralise tous les outils de sécurité. Voici les principaux services déployés :

1. HIDS : OSSEC Manager

  Rôle :
o Collecte les journaux des agents OSSEC installés dans les zones LAN et DMZ.
o Analyse ces journaux en fonction de règles prédéfinies.
o Génère des alertes en cas d'événements critiques (ex. : modification de fichiers
système, tentatives de login suspectes).
 Relation :
o Reçoit les logs des agents OSSEC via le port 1514/UDP.
o Peut exécuter des réponses actives (ex. : blocage d'IP via pfSense).

2. NDR : Suricata + Sysmon

 Suricata :
o Analyse le trafic réseau dans les zones LAN, DMZ, et SOC.
o Détecte des attaques réseau comme :
 Scans de ports.
 Injections SQL.
 Tentatives d’exfiltration de données.
o Les événements sont envoyés au SIEM (Wazuh) pour corrélation.
 Sysmon :
o Surveille les événements système locaux sur les serveurs (DMZ et SOC).
o Collecte des informations détaillées sur les processus, les connexions réseau,
etc.
 Relation :
o Suricata et Sysmon → envoient les logs → SIEM (Wazuh).

3. SIEM : Wazuh

 Rôle :
o Centralise tous les événements provenant des outils de sécurité (OSSEC,
Suricata, Sysmon).
o Analyse et corrèle les événements pour détecter des incidents de sécurité
complexes.
o Règles (Rules) :
 Les règles Wazuh définissent comment analyser et prioriser les
événements.
 Exemple de règle :
 Si plusieurs tentatives de connexion échouent depuis une IP,
générer une alerte critique.
 Relation :
o Reçoit les logs de :
 OSSEC Manager (HIDS).
 Suricata (NDR).
 Sysmon (événements système).
o Affiche les alertes et rapports via son tableau de bord.

4. Monitoring : Zabbix

 Rôle :
o Surveille les performances des systèmes et services (CPU, RAM, réseau).
 o Alerte en cas de problèmes techniques (ex. : serveur hors ligne, surcharge
CPU).
 Relation :
o Complète les outils de sécurité en assurant le suivi des performances.

3. Les relations entre tous les outils et services

Outil/Service Rôle Relation avec d’autres outils
OSSEC Surveille les journaux des Envoie les logs au SIEM (Wazuh) pour
(HIDS) machines locales. analyse et corrélation.
Suricata Surveille le trafic réseau pour Envoie les événements réseau au SIEM
(NDR) détecter des anomalies. (Wazuh) pour analyse.
Surveille les événements système Envoie les événements système au
Sysmon
détaillés. SIEM (Wazuh) pour analyse.
Centralise, corrèle, et analyse les Reçoit les données de OSSEC,
SIEM (Wazuh)
événements de sécurité. Suricata, et Sysmon.
Complète le SOC en assurant que les
Zabbix Surveille les performances des
machines et services fonctionnent
(Monitoring) systèmes et services.
correctement.
Contrôle le trafic entre les zones et Permet aux logs de circuler entre les
pfSense (pare-
autorise les services nécessaires zones (LAN, DMZ, SOC) en autorisant
feu)
(1514/UDP, etc). uniquement le trafic utile.

4. Résumé final de l'architecture

1. Zone LAN :
o Contient des machines utilisateur.
o Protégée par pfSense.
o Les journaux des machines sont collectés par OSSEC Agent.
2. Zone DMZ :
o Contient des serveurs web et mail exposés.
o Protégée par pfSense.
o Surveillée par Suricata (NDR) et OSSEC Agents.
3. Zone SOC :
o Le SOC centralise tous les outils :
 OSSEC Manager pour analyser les logs.
 Suricata pour surveiller le réseau.
 SIEM (Wazuh) pour centraliser et corréler les données.
 Zabbix pour le monitoring.
4. Rôle des firewalls pfSense :
o Segmentent les zones et sécurisent les communications.
o Autorisent uniquement le trafic nécessaire (comme les logs sur 1514/UDP).
Avec cette architecture, chaque outil a son rôle clair et contribue à la sécurité globale de
l’infrastructure. Si tu as des questions sur une partie spécifique, je peux te guider davantage !
�