République Tunisienne

Ministère de l’Enseignement Supérieur et de la Recherche

Scientifique
École Supérieure Privée d’Ingénierie et de Technologie

Rapport de Projet

Mise en place d’une solutin SOC open-source

Réalisé par :
Hadyaoui Chaima
Boubakri Moemen
Yaagoubi Aymen

2023-2024

1
.

1
Table des matières

1 Cadre du Projet 4
1.1 Introduction ............................................................................................................... 4
1.2 Cadre du projet ......................................................................................................... 4
1.2.1 Objectifs du projet....................................................................................... 4
1.2.2 Problématique............................................................................................... 4
1.2.3 Etude de l’existant ....................................................................................... 5
1.2.4 Solution proposée ......................................................................................... 5
1.3 Conclusion ................................................................................................................ 5

2 Etat de l’art 6
2.1 Introduction ............................................................................................................... 6
2.2 La sécurité informatique ......................................................................................... 6
2.2.1 Concepts de base ......................................................................................... 6
2.3 La Supervision informatique ..................................................................................... 7
2.3.1 Les objectives de la supervision ................................................................... 7
2.3.2 Les outils de supervision.............................................................................. 7
2.4 Notion du SOC ...................................................................................................... 9
2.4.1 SIEM............................................................................................................ 9
2.4.2 Comparaison d’outils de SIEM ................................................................ 10
2.5 Conclusion…………………………………………………………………………….10

3 Mise en place de la solution SOC

3.1 Introduction ............................................................................................................. 13
3.2 Conception et design de l’architecture ..................................................................... 13
3.2.1 Description de l’architecture réseau ........................................................ …14
3.3 Scénario d'attaque : Brute Force avec Hydra et visualisation dans un SOC open source..15
3.4 Choix technologique…………………………………………………………………………………………..16
3.5 Conclusion…………………………………………………………………………….17

4 Mise en place de la solution SOC

4.1 Introduction ............................................................................................................. 19
4.2 Environnement de travail…………………………………………………………….19
4.2.1 Environnement matériel .................................................................... ….19
4.2.2 Environnement logiciel …………………………………………………………… ..20
4.3 Installation et configuration……………………………………………………………… …..22
4.3.1 Configuration Cortex…………………………………………………………… ……23
4.3.2 Configuration MISP…………………………………………………………… ….…23
4.3.3 Configuration TheHive……………………………………………………… ……...23
4.4 Phase de tests et validation……………………………………………………… …………………… .24
4.4.1 Visualisations des Logs sur wazuh………………………………………………… … ……..24
4.4.1 Visualisations des Logs sur Cortex………………………………………………… … …….25
4.4.1 Visualisations des Logs sur MISP…………………………………………………… ……….26

3
 4.4.1 Visualisations des Logs sur THEhive……………………………………………………28
4.5 Conclusion…………………………………………………………………………….30
Conclusion générale

4
 Introduction générale

Avec l’augmentation des menaces informatiques et la sophistication croissante des attaques, les
entreprises font face à un besoin impératif de protéger leurs systèmes d’information et leurs
données sensibles. La cybersécurité est ainsi devenue une priorité stratégique, exigeant des
dispositifs de surveillance et de protection capables de détecter et de répondre aux incidents de
sécurité de manière rapide et efficace.

Le projet de mise en place d’un SOC (Security Operations Center) open source s’inscrit dans
cette démarche en offrant une solution centralisée pour la surveillance continue, l’analyse des
menaces et la gestion des incidents. Un SOC permet aux entre- prises de renforcer leur posture
de sécurité en améliorant leur visibilité sur les activités réseau et en facilitant la prise de décision
rapide lors de situations critiques. En utilisant des technologies open source, cette approche vise
également à minimiser les coûts tout en garantissant une grande flexibilité d’évolution.

Le présent rapport s’articule autour de quatre chapitres, le premier chapitre, sous le nom « Présentation du
cadre de projet » qui comporte une présentation du contexte générale en mettant l’accent sur l’étude de
l’existant, les problématiques rencontrés et la solution proposée. Le deuxième chapitre sous le nom « État
de l’art » est consacré à l’introduction des aspects théoriques nécessaires à la compréhension du problème
et de la solution. Le troisième chapitre sous le nom « Mise en place de la solution » présente l’architecture
réseau de notre solution et décrit les technologies utilisées pour l’élaboration de la solution. Le dernier
chapitre intitulé « Implémentassions de la solution proposée » présente l’environnement logiciel et les
matériel de la mise en place de la solution, et décrit les résultats obtenus lors des tests de validation. Enfin
nous terminerons par une conclusion générale.

5
Chapitre 1

Cadre du Projet

1.1 Introduction
Nous commençons dans ce premier chapitre par une mise en contexte de notre projet,
en spécifiant les problémes rencontrées et en identifiant la solution proposée .

1.2 Cadre du projet

Ce projet s’inscrit dans le cadre de la sécurisation des infrastructures informatiques
d’une organisation, avec pour objectif principal d’améliorer la capacité de détection et de
réponse aux incidents de sécurité. En centralisant et en automatisant la surveillance des
événements de sécurité, ce SOC vise à offrir une vue consolidée des menaces potentielles et
à renforcer la protection des données et des actifs numériques de l’entreprise. La solution
open source permet de créer une architecture personnalisable, évolutive et conforme aux
exigences de l’organisation.

1.2.1 Objectifs du projet

Les objectifs principaux de ce projet sont :
Détecter et analyser les incidents de sécurité : Mettre en place une solution permettant
la surveillance continue des systèmes pour identifier toute activité suspecte. Améliorer la
capacité de réponse : Faciliter la gestion des incidents de sécurité afin de réagir efficacement
face aux menaces. Automatiser la collecte et l’analyse des données : Centraliser les logs
et autres données de sécurité pour une analyse plus rapide et une gestion proactive des
alertes. Réduire les coûts : Utiliser des outils open source pour diminuer les dépenses sans
compromettre la qualité et l’efficacité de la solution. Assurer une surveillance en temps
réel : Permettre un suivi constant des infrastructures critiques pour une détection rapide
des anomalies.

1.2.2 Problématique
Face aux cybermenaces croissantes, les entreprises peinent souvent à surveiller l’en-
semble de leurs systèmes de manière efficace et continue. Les solutions propriétaires
peuvent représenter un coût important, limitant l’accès des petites et moyennes entre-
prises à des technologies de sécurité avancées. La problématique que vise à résoudre ce
projet est la suivante : Comment concevoir et implémenter une solution SOC performante,
centralisée et évolutive, basée sur des technologies open source, pour renforcer la sécurité
d’une entreprise sans augmenter significativement les coûts ?

6
1.2.3 Etude de l’existant
Pour pouvoir améliorer le cas actuel et proposer une solution meilleur nous avons
entrepris une étude minutieuse de l’existant afin d’identifier les forces, les faiblesses et les
opportunités qui orienteront nos prochaines démarches.

1.2.4 Solution proposée

La solution proposée est une plateforme SOC (Security Operations Center) open
source, conçue pour centraliser et automatiser la surveillance des événements de sécurité
dans un environnement informatique. Cette solution vise à détecter, analyser et répondre
aux incidents de sécurité en temps réel, permettant ainsi de protéger les actifs numériques
de l’organisation de manière proactive et réactive.
Elle repose sur une architecture modulaire et évolutive, permettant d’intégrer divers
outils open source de collecte et d’analyse de logs, de gestion des incidents et de corrélation
des données. Grâce à cette approche, le SOC est capable de fournir une visibilité globale
sur les menaces, d’automatiser la collecte des logs depuis différents systèmes et d’offrir une
gestion centralisée des alertes et des réponses aux incidents. En optant pour une solution
open source, cette architecture SOC offre flexibilité, adaptabilité et réduction des coûts,
tout en garantissant un haut niveau de sécurité et de conformité pour l’organisation.

1.3 Conclusion
Dans cette section, nous expliquons le contexte du projet, les objectifs et les défis
techniques abordés. Dans le chapitre suivant nous allons présenter les différents concepts
théoriques de notre projet.

7
Chapitre 2

Etat de l’art

2.1 Introduction
Dans ce chapitre nous étudierons le concept de la sécurité informatique en définissant
les notions indispensables pour la compréhension du projet.

2.2 La sécurité informatique

Détails sur le développement des fonctionnalités principales du projet, avec des exemples
de code si applicable.

2.2.1 Concepts de base

La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques
pour protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées
par des spécialistes, les plus simples doivent être connues et mises en œuvre par tous les
utilisateurs.

La sécurité informatique vise généralement cinq principaux objectifs :

— L’intégrité : les données de communication ne sont modifiées que par les par-
ties autorisées (protection de l’information contre les modifications accidentelles et
intentionnelles).

— La confidentialité : les données (transmises ou stockées) ne sont accessibles en

lecture que par les parties autorisées.

— La disponibilité : un système, un réseau, ou une ressource doit être accessible à

tout moment, selon les performances souhaitées, suite à la demande d’une entité
autorisée.

— La non-répudiation : les acteurs impliqués dans la communication ne peuvent

pas nier y avoir participé

— L’authentification : toutes les parties (émettrice ou réceptrice) doivent être ca-

pables de vérifier que l’autre partie est bien celle qu’elle prétend être (validation
de l’identité de l’autre partie).

8
 Il existe plusieurs techniques permettant d’assurer la sécurité d’un système d’informa-
tion :
— Pare-feu c’est un composant informatique logiciel ou matériel conçu pour pro-
téger les données d’un réseau. Il permet d’assurer la sécurité des informations d’un
réseau en filtrant les entrées et en contrôlant les sorties selon des règles définies.
Les firewalls permettent de : - Limiter le trafic réseau. - Contrôler le flux de trafic.
- Éviter l’intrusion d’un pirate via le réseau .

— VPN (Virtual Privat Network) c’est une technique permettant de créer un

lien direct entre des réseaux distants pour les isoler du reste du Traffic qui se
déroule sur le réseau public [5]. Les avantages de VPN sont : — se protéger contre
toute forme de surveillance et d’espionnage en ligne. — Téléchargement sans être
tracé. — D’être anonyme sur le NET.

— Proxy C’est un logiciel informatique qui joue le rôle d’intermédiaire en se plaçant

entre deux hôtes pour faciliter ou surveiller leurs échanges. Son fonctionnement
est simple : il s’agit d’un serveur "mandaté" par une application pour effectuer
une requête sur Internet à sa place. Le serveur proxy va alors se connecter au
serveur que l’application cliente et lui transmettre la requête [6]. Les avantages des
Proxy sont : — Cachée de l’adresse IP. — protéger le réseau contre les logiciels
malveillants. — D’être anonyme sur le NET.

9
2.3 La Supervision informatique
La supervision informatique désigne l’ensemble d’outils et de ressources déployés pour
veiller au bon fonctionnement du système d’information. Le but est de mettre en place une
maintenance préventive afin d’éviter les interruptions de service et de détecter en amont
les failles des infrastructures informatiques pour contrer les pannes et les cyberattaques.

2.3.1 Les objectives de la supervision

— Optimisation de la disponibilité et des performances des serveurs. — Anticipation
des pannes du réseau. — Prévention des arrêts de services. — Mesure de changement et
surveillance des sites. — Mesure d’intégrité du réseau. — Remont d’alertes de sécurité.
Parmi les éléments réseaux à superviser on trouve : — Les serveurs : CPU, mémoire,
processus, espace disque, services. — Les périphériques et matériels de stockage : Disque,
carte réseau, température, onduleur. — Réseau : Bande passante, protocole, switch, rou-
teur, firewall, Wi-Fi.

2.3.2 Les outils de supervision

Pour pouvoir mettre en pratique une solution de supervision, les entreprises utilisent
des logiciels de supervision (Monitoring tools). Il existe des solutions payantes et d’autres
gratuites.

Solutions payantes
— Scom (System Center Operations Manager) C’est un outil de Microsoft des-
tiné à la surveillance de performance et d’événements des systèmes Windows. Cet
outil permet la supervision d’ordinateurs interconnectés à travers un ou plusieurs
réseaux.

Figure 2.1 – SCOM Logo

10
 — IBM Tivoli Monitoring : C’est un outil pour surveiller et gèrer les applications
réseau sur différents systèmes d’exploitation. Il effectue un suivi de la disponibi-
lité et des performances du système d’information et fournit des rapports pour
investiguer les tendances et résoudre les incidents.

Figure 2.2 – IBM Logo

Solutions gratuites
— Zabbix : C’est un logiciel open source qui permet de générer de nombreux KPIs
réseaux pour le suivi de la santé et l’intégrité des serveurs. Zabbix utilise un mé-
canisme de notification flexible qui permet aux utilisateurs de configurer une base
d’alertes pour tous types d’événements. Cela permet une réponse rapide aux pro-
blèmes serveurs. Zabbix offre un excellent reporting et des fonctionnalités de vi-
sualisation de données basées sur les données stockées.

Figure 2.3 – Zabbix Logo

— Nagios Anciennement appelé Netsaint, est un logiciel open source permettant la

surveillance système et réseau. Il surveille les hôtes et les services spécifiés, alertant
lorsque les systèmes présentent des dysfonctionnements et quand ils repassent en
fonctionnement normal.

Figure 2.4 – Nagios Logo

11
 — Wazuh C’est un HIPS (Host Intrusion Protection System) qui permet de traiter
les problématiques de détection des menaces/intrusions/anomalies de comporte-
ment, de surveillance de la sécurité de réponse aux incidents et de conformité
réglementaire.

Figure 2.5 – Wazuh Logo

2.4 Notion du SOC

Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge
d’assurer la sécurité de l’information . L’objectif d’un SOC est de détecter, analyser et re-
médier aux incidents de cybersécurité à l’aide de solutions technologiques et d’un ensemble
de démarches, le SIEM (Security Information Event Management) est l’outil principal du
SOC puisqu’il permet de gérer les évènements d’un SI.

Figure 2.6 – SOC

2.4.1 SIEM
Les solutions de gestion des informations et des événements de sécurité (SIEM) aident
les organisations à détecter, analyser et réagir aux menaces liées à la sécurité avant qu’elles

12
ne nuisent à leur activité professionnelle, un système SIEM collecte les données des jour-
naux d’événements à partir de sources diverses, identifie les activités qui s’écartent de la
norme grâce à une analyse en temps réel, et applique les mesures appropriées.

2.4.2 Comparaison d’outils de SIEM

Dans ce tableau nous avons comparé les quatre outils «wazuh» «splunk» «Zabbix» et
«IBM» en se basant sur des critères de fonctionnalité.

Table 4.1 – Tableau comparatif

Caractéristiques Wazuh Splunk IBM Zabbix

Type d'outil SIEM, SIEM, gestion de Supervision SIEM, détection
surveillance de journaux réseau et serveur des menaces
sécurité
Surveillance réseau
Limité Avancée Avancée Avancée

Gestion des oui oui non oui

journaux
Analyse de sécurité oui oui limité oui
Alertes et oui oui oui
notifications oui

Évolutivité
modérée Très élevée Élevée Très élévée

Interface utilisateur
Professionnelle
Intuitive mais Très intuitive et Moins intuitive mais complexe
technique puissante
Intégrations Large éventail de Vaste Principalement Nombreuses
plug-ins écosystème pour réseaux et intégrations
serveurs tierces
Open Source Oui Non Oui non

Conclusion

Tout au long dans ce chapitre, on a essayé de faire une présentation des différents concepts
et technologies les plus utilisées pour la mise en place de notre projet, après une étude
comparative entre les outils de supervision en premier lieu et les outils de virtualisation en
second lieu afin de choisir des outils pour les implémenter dans notre projet. Dans le chapitre
suivant, nous avons présenté les différentes technologies utilisées pour l’élaboration de la
solution afin de justifier les choix des outils .
13
Chapitre 3

Mise en place de la solution SOC

3.1 Introduction
Pour faciliter la réalisation de notre projet, Nous allons commencer par concevoir la solu-tion SOC à l’aide
de maquette ce qui nous permettra d’offrir une manière plus descriptive et efficace pour présenter notre
travail. Le modèle d’implantation de la solution est basé sur la suite ELK, WUZAH et autres outils. Ce
choix technologique sera interprété dans la seconde partie de ce chapitre.

3.2 Conception et design de l’architecture

Figure 3.1 – Architecture du réseau

14
 3.2.1 Description de l’architecture réseau
Cette implémentation présentée illustre une architecture de type SIEM (Security Information and Event
Management) couramment utilisée dans les SOC (Security Operation Center). Elle permet de collecter,
analyser et corréler des événements de sécurité en provenance de différents systèmes et applications
pour détecter et répondre aux menaces potentielles. Notre architecture se compose par des éléments
comme :

 Kali Linux :

- Machine attaquante exécutant Hydra pour effectuer une attaque brute force.

 Wazuh agent :

- Collecte les données de sécurité (logs, événements système, etc.) et les envoie au Wazuh Manager.

 Wazuh Manager:

- Reçoit et centralise les données collectées par les agents.

- Effectue une première analyse des données pour identifier les anomalies ou les événements suspects.

- Envoie les données enrichies vers Elasticsearch.

 Logstash:

- Prend en charge la transformation et l'indexation des données dans Elasticsearch.

- Permet de normaliser les données provenant de différentes sources et de les rendre plus facilement
interrogeables.

 Elasticsearch:

- Base de données NoSQL hautement scalable, utilisée pour stocker et rechercher les données de
sécurité.

- Indexe les données provenant de Logstash et les rend disponibles pour les autres composants.

 ElastAlert:

- Moteur d'alerting basé sur Elasticsearch.

- Configure des règles de détection d'anomalies et génère des alertes en fonction des résultats des
requêtes Elasticsearch.

15
 TheHive:

- Plateforme open-source de gestion des incidents de sécurité.

- Permet de créer des cas, d'assigner des tâches aux équipes et de suivre l'évolution des incidents.

- Intègre ElastAlert pour recevoir les alertes et créer automatiquement des cas.

 AlertAnalyst:

- Outil d'analyse des alertes qui permet de prioriser et de catégoriser les incidents.

 Cortex :

- Plateforme d'analyse de la menace qui permet de corréler les incidents avec des informations
provenant de sources externes (threat feeds, intelligence sur les menaces).

 MISP (Malware Information Sharing Platform):

- Plateforme de partage d'informations sur les menaces.

- Permet de partager des indicateurs de compromis (IoC) et d'autres informations sur les menaces avec
d'autres organisations.

L'intégration entre Wazuh, TheHive, MISP et Cortex permet de combiner leurs fonctionnalités
pour créer un flux de travail efficace et automatisé pour la détection, l'analyse, et la réponse aux
menaces de sécurité

3.3 Scénario d'attaque : Brute Force avec Hydra et

visualisation dans un SOC open source
Ce scénario illustre une tentative d'attaque par force brute contre un serveur SSH en
utilisant Hydra depuis une machine Kali Linux. L'objectif est de démontrer comment un SOC basé
sur Wazuh, Cortex, MISP et TheHive peut détecter, analyser et gérer cette attaque.

Les Étapes de l’attaque

Étape 1 : Lancement de l’attaque brute force avec Hydra
Depuis la machine Kali Linux, exécutez la commande suivante pour tenter de deviner un mot de passe
SSH :

┌──(root㉿kali)-[~]
└─# hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.202.140

16
 Figure 3.2 : Lancement d’attaque

Détection avec Wazuh

Collecte des journaux :

- Wazuh surveille les journaux SSH du serveur cible. Les journaux des tentatives échouées de
connexion SSH (souvent stockés dans /var/log/auth.log) sont analysés.

Génération d’une alerte :

- Wazuh envoie une alerte indiquant une attaque brute force en cours avec des détails tels que l’adresse
IP source, le port cible et le service.

Gestion dans TheHive

Création automatique d’un incident :

L’alerte de Wazuh est intégrée à TheHive via l’API, créant un nouveau cas contenant :
- Description de l’attaque.
- Adresse IP source ([IP_kali]).
- Nom d’utilisateur cible.
Structuration de l’incident :
- Ajout de tâches pour les analystes :
- Identifier la source de l’attaque.
- Vérifier si le serveur cible a été compromis.
- Mettre en place des mesures correctives.

Enrichissement avec Cortex

Analyse des artefacts :

Les artefacts suivants sont analysés automatiquement par Cortex :
- Adresse IP de l’attaquant : Analyse de réputation avec un service comme VirusTotal ou Shodan.
- Nom d’utilisateur cible : Vérification de l’utilisation de ce nom dans des bases de données
compromises.

17
 Contextualisation avec MISP

Recherche d’informations sur les menaces :

MISP est utilisé pour enrichir les données avec des informations sur des campagnes de brute force
connues ou des acteurs de menace associés.
Les IOCs (adresses IP, hash des outils utilisés) sont corrélés avec les bases de données MISP.

3.4 Choix technologique

3.4.1 Wazuh

Le choix de Wazuh comme outil SIEM (Security Information and Event Management) est souvent motivé
par plusieurs raisons, qui en font une solution attrayante pour de nombreuses organisations :

- Open-source et gratuit: Wazuh est une solution open-source, ce qui signifie qu'elle est gratuite et
que son code source est accessible à tous. Cela permet une grande flexibilité de personnalisation et
évite les coûts de licence.

- Polyvalence: Wazuh offre une large gamme de fonctionnalités, allant de la collecte de logs à
l'analyse comportementale, en passant par la détection d'intrusion et la gestion des vulnérabilités. Il
s'adapte ainsi à différents besoins et tailles d'organisations.

- Communauté active: Wazuh bénéficie d'une communauté d'utilisateurs et de développeurs active,

ce qui assure un développement continu, une bonne documentation et une assistance communautaire
importante.

- Intégration facile: Wazuh s'intègre facilement avec d'autres outils et technologies, comme
Elasticsearch, Kibana, et de nombreux systèmes d'exploitation. Cela permet de le combiner avec des
solutions existantes et de construire une architecture SIEM complète.

- Agent léger: L'agent Wazuh est relativement léger et a un faible impact sur les performances des
systèmes surveillés.

- Détection des menaces proactives: Wazuh utilise des règles de détection basées sur des signatures
et des analyses comportementales pour détecter les menaces en temps réel.

18
 3.5 Conclusion
Dans ce chapitre, nous avons effectué, dans un premier lieu, une présentation de l’architecture réseau de
notre projet avec une explication détaillé des éléments de l’architecture. Ensuite, nous avons argumenté
les choix technologiques. dans le dernier chapitre nous passons à la réalisation et l’implémentation de
notre solution avec des tests de validation

19
Chapitre 4

Implémentation de la solution proposée

4.1 Introduction
Ce chapitre représente le dernier volet de ce projet, il sera consacré à l’aspect implémentation et à
l’exposition du travail réalisé. Au cours de ce chapitre, nous attarderons sur les différentes
configurations requises pour s’assurer du bon fonctionnement de notre solution.

4.2 Environnement de travail

Cette partie s’occupe de la présentation de l’environnement de travail matériel et logiciel utilisé dans la
réalisation de notre projet.

4.2.1 Environnement matériel

Pendant la réalisation de notre application nous avons utilisé des équipements ayant les caractéristiques
suivantes :

Table 4.1 – Les caractéristiques de PC

20
4.2.2 Environnement logiciel

Dans cette partie nous allons présenter l’environnement logiciel utilisé dans notre projet.

 Kali Linux

C’est une distribution Linux spécialement conçue pour les tests de pénétration, la sécurité
informatique et la recherche en sécurité. Elle est largement utilisée par les professionnels de la
sécurité, les chercheurs et les hackers éthiques pour identifier les vulnérabilités dans les systèmes
informatiques et les réseaux

Figure 4.1: Logo Kali Linux

 Cortex

Cortex est une plateforme open source utilisée pour analyser les artefacts et enrichir les données des
incidents de sécurité. Il fonctionne en conjonction avec TheHive et MISP pour automatiser
l’analyse des indicateurs de compromission (IOCs).

Figure 4.2 : Logo Cortex

21
 MISP (Malware Information Sharing Platform)

MISP est une plateforme open source conçue pour faciliter le partage, la collecte et l’analyse d’informations
liées aux menaces de cybersécurité. Elle est utilisée pour partager des indicateurs de compromission (IOCs)
entre des organisations, équipes SOC, ou chercheurs en sécurité afin de mieux comprendre et se défendre
contre les attaques.

Figure 4.3 : Logo Misp

 TheHive

TheHive est une plateforme open source de gestion des incidents de cybersécurité (Security
Incident Response Platform - SIRP). Elle est conçue pour aider les équipes de sécurité (SOC,
CSIRT) à collecter, analyser, et gérer les incidents détectés. TheHive fournit un cadre collaboratif et
automatisé pour optimiser la réponse aux menaces.

Figure 4.4 : Logo TheHive

22
 Wazuh

Wazuh est une plateforme open source de sécurité et de surveillance qui fournit des fonctionnalités
complètes pour la détection des menaces, la gestion des incidents et la conformité. Elle combine un
agent léger déployé sur les endpoints et un serveur centralisé (Wazuh Manager) qui collecte,
analyse et visualise les données de sécurité à l'aide de son Dashboard basé sur Kibana.

Figure 4.5: Logo Wazuh

4.3 Installation et configuration

4.3.1 Configuration Cortex

Figure 4.6 : Cortex login

23
4.3.2 Configuration MISP

Figure 4.7 : MISP login

4.3.3 Configuration Thehive

Figure 4.8 : Configuration TheHive

24
 Figure 4.9 : Intégration entre thehive Misp et cortex

4.4 Phase de tests et validation

4.4.1 Visualisations des Logs sur wazuh

Figure 4.10 : vulnérabilité détecter d’après Wazuh

25
Création d’un tableau de bord de logs

Figure 4.11 : Dashboard

Figure 4.12 : Dashboard

26
 Figure 4.13 : Virus totale

Figure 4.14 : Malware détecter

27
Figure 4.15 : Intelligence

28
4.4.2 Visualisations des Logs sur Cortex

Figure 4.16 : Cortex analyse

4.4.2 Visualisations des Logs sur MISP

Figure 4.17 : MISP évents

29
4.4.3 Visualisations des Logs sur TheHive

Figure 4.18 : Alertes

Figure 4.19 : Dashboard

30
Conclusion
Au cours de ce chapitre, nous avons décrit l’environnement matériel et logiciel utilisé lors de la réalisation
du projet. Nous avons aussi présenté le fruit de notre travail sous forme de scénarios d’exécution avec des
captures d’écran des interfaces de la solution proposée.

31
Conclusion générale

Notre projet consistait à implémenter une solution SOC . Cette expérience nous a permis de faire un grand
pas dans le milieu professionnel. Nous avons essayé tout au long de notre travail de supervisser des
machines virtuelles pour offrir à l’administrateur la possibilité de réagir le plus rapidement possible face
aux pannes qui peuvent intervenir et garantir ainsi le bon fonctionnement de notre système tout en
surveillant le statut des machines .

Nous avons commencé dans un premier lieu par comprendre le contexte général de notre projet et pourquoi
ce projet doit-il être réalisé. Ensuite nous avons fait une étude préalable afin de découvrir les techniques et
les outils à utiliser. Nous avons passé par la suite à la mise en place de la solution SOC et dans ce chapitre
nous avons expliqué notre architecture réseau et les éléments de base de notre solution. puis nous avons
présenté les étapes d’installation et de configuration, Avec un test et validation de notre solution sur les
machines virtuelles.

Finalement, Les difficultés surmontées tout au long de la réalisation du projet ont constitué un défi pour
acquérir de nouvelles connaissances techniques. Ce projet nous a donné l’opportunité de manipuler des
techniques innovantes et évolutives.

32