Cybersécurité
Protégez votre foyer : Guide pratique pour l’installation d’un SOC « maison ».
28 avril 2024

Protégez votre foyer : Guide pratique pour l’installation d’un SOC « maison ».

Le SOC, ou Security Operations Center (Centre Opérationnel de Sécurité), est une installation centralisée, composée de serveurs et d’outils dédiés, où une équipe d’experts en sécurité informatique surveille, analyse et répond aux incidents de cybersécurité au sein d’une organisation.

Ce centre effectue une surveillance constante de divers éléments tels que le trafic Internet, l’infrastructure réseau, les postes de travail, les serveurs, les systèmes endpoint, les bases de données, les applications et les objets connectés (IoT) pour identifier tout incident de sécurité. Bien que les équipes du SOC puissent collaborer avec d’autres départements, elles sont généralement indépendantes et composées d’employés possédant des compétences spécifiques en cybersécurité.

La force d’un SOC réside dans sa composition. Il s’agit d’un amalgame d’analystes de sécurité, d’ingénieurs, de gestionnaires d’incidents et de responsables de la conformité, tous unis par une mission commune : protéger.

Ces experts s’appuient sur une panoplie d’outils de pointe, depuis les systèmes de gestion des informations et des événements de sécurité (SIEM) jusqu’aux solutions de détection et de prévention des intrusions (IDS, IPS, EDR, XDR).

Rôle du SOC

Le SOC surveille en permanence les données de sécurité pour détecter, analyser et réagir aux incidents de cybersécurité. En cas de détection d’une menace, le SOC coordonne une réponse rapide pour contenir et éradiquer la menace.

Le SOC analyse les tendances et les informations sur les menaces émergentes pour anticiper et prévenir les attaques futures.

Composition d’un SOC

Le SOC est composé avant tout des analystes de sécurité, de gestionnaires d’incidents, et souvent d’un CISO (Chief Information Security Officer). Il est également composé d’outils de surveillance et d’analyse, tels que SIEM (Security Information and Event Management), de systèmes de détection et de prévention des intrusions et de solutions de gestion des vulnérabilités.

L’arsenal inclut également des outils d’analyse forensique et de gestion des menaces, essentiels pour comprendre et contrer les attaques.

L’utilisation de tous ces outils doit s’appuyer sur des procédures standardisées pour la détection, l’analyse, la réponse et la récupération des incidents de sécurité.

Tous ces éléments s’appuient de fait sur une infrastructure informatique robuste pour supporter la collecte et l’analyse de grandes quantités de données.

Comme vous l’avez compris, le SOC est un élément vital de la stratégie de cybersécurité d’une entreprise. Il offre une approche proactive et spécialisée pour protéger les actifs informatiques contre les menaces croissantes dans le paysage de la cybersécurité. En combinant les bons outils, les talents et les processus robustes, un SOC peut grandement renforcer la posture de sécurité d’une organisation.

Et si vous installiez un SOC chez vous, pour surveiller et protéger vos PC, votre serveur NAS ou votre camera IP ?

Allez ! C’est parti.

Choix du matériel

L’aventure commence par le choix de l’équipement de base.

Par soucis d’encombrement, de consommation d’énergie et de bruit, nous allons opter pour un mini PC d’occasion, de type HP EliteDesk 800 G2 ou un modèle similaire d’une autre marque que vous préférez.

HP EliteDesk 800

Nous avons donc un processeur INTEL i5 Quad-core de septième génération avec 16 Go de RAM DDR4 et un SSD de 256Go (ou plus si vous voulez) pour la modique somme de 140€.

Largement suffisant pour notre projet 😉

Choix du logiciel de virtualisation

Après avoir sélectionné notre équipement, il est temps de décider de l’hyperviseur qui gérera notre virtualisation.

Un hyperviseur, dans le cas de notre projet, est un logiciel qui permet de créer et de gérer des machines virtuelles, c’est-à-dire de faire fonctionner plusieurs systèmes d’exploitation distincts sur un seul et même serveur physique.

Notre choix final se porte entre VMware vSphere et la solution open-source Proxmox.

Ici, sans aucun doute, pour notre SOC « Maison », nous allons opter pour Proxmox VE. La dernière version en date est la Proxmox VE 8.2.2.

(Je ne vais pas détailler l’installation de Proxmox dans cet article, car ce n’est pas le sujet principal).

Configuration du « SOC »

Après avoir finalisé l’installation de l’hyperviseur Proxmox, nous allons nous connecter sur son IP pour accéder à son interface d’administration.

Proxmox fresh install

Le cœur du SOC – Le SIEM

Maintenant nous pouvons passer à l’installation du cœur de notre SOC.

D’après le site officiel, Wazuh est une plateforme de sécurité gratuite et open source qui unifie la protection XDR et SIEM (Security Information and Event Management) pour les endpoints.

Wazuh n’est pas simplement un outil ; c’est une armure, une sentinelle de votre infrastructure. Il s’agit d’une solution de sécurité intégrée qui protège, détecte et réagit aux menaces dans les infrastructures informatiques.

Combinant les capacités de détection des intrusions, de surveillance de la sécurité des fichiers, et de gestion des vulnérabilités, Wazuh constituera le cœur de notre Centre Opérationnel.

Dans notre cas une version all-in-one suffira largement. La documentation officielle est juste parfaite : https://documentation.wazuh.com/current/installation-guide/index.html

Dans cet article, je n’aborderai pas d’autres éléments qui peuvent composer un SOC professionnel en production : comme ticketing, threat intelligence etc…

Installation de Wazuh pas-à -pas

Pour l’installation de Wazuh all-in-one, j’ai choisi un serveur Ubuntu 20.04 LTS.

Configuration :

  • CPU : 2vCPU
  • RAM : 4 Go
  • HDD : 60 Go
  • Réseau : IP :192.168.0.100
  • Gateway : 192.168.0.254
  • DNS : 192.168.0.254

Comme le but de notre SOC est de surveiller notre LAN Home, nous allons lui donner une IP fixe de notre LAN du domicile, donc le réseau derrière notre BOX FAI.

Les commandes

apt update && apt upgrade
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.4/config.yml

Ajoutez l’ip de votre serveur Wazuh dans le fichier config.yml

bash wazuh-install.sh --generate-config-files
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
bash wazuh-install.sh --wazuh-indexer node-1
bash wazuh-install.sh --start-cluster
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
bash wazuh-install.sh --wazuh-server wazuh-1
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
bash wazuh-install.sh --wazuh-dashboard dashboard

Récupérez le mdp d’Admin dans la fenêtre CLI à la fin de l’installation.

Accédez au service : https://ip_du_serveur

Les agents Wazuh

Nous allons installer les agents Wazuh sur les machines de notre réseau domestique afin de les surveiller et par la même occasion les protéger !

Dans le menu « Agents » -> « Deploy new agent », nous allons renseigner les informations nécessaires :

Et voilà, désormais nous savons absolument tout ce qui se passe sur nos machines 😉

Les événements de sécurité, les vulnérabilités, le score de conformité selon le Framework souhaité, etc… nous sont livrés en temps réel. Cool non ?

Pour aller plus loin

Et si on voulait être au courant d’un incident grave sur notre infrastructure maison en temps réel ?

Pas de problème, nous allons tout simplement paramétrer l’envoie d’alertes sur un canal Slack.

Le lien officiel du paramétrage : https://documentation.wazuh.com/current/user-manual/manager/manual-integration.html#slack

Après avoir créé notre canal selon la documentation, nous allons ajouter ceci dans notre fichier ossec.conf (var/ossec/etc/ossec.conf)

<integration>
  <name>slack</name>
  <hook_url><WEBHOOK_URL></hook_url> <!-- Replace with your Slack hook URL -->
  <alert_format>json</alert_format>
</integration>
ossec.conf
systemctl restart wazuh-manager

A partir de maintenant, dès l’apparition d’une alerte de niveau 5 minimum (modifiable dans le fichier ossec.conf) nous recevrons notre alerte dans le canal Slack.

Je vais simuler une tentative de connexion frauduleuse sur l’une de mes machines avec un mauvais mot de passe, voyons ce qu’il se passe.

Alerte dans Wazuh

Tentative de connexion avec un mauvais mot de passe à 16:05 visible dans Wazuh.

Alerte Slack

L’alerte arrive sur notre canal Slack à 16:05 !

Comme vous pouvez le constater, désormais nous avons un œil sur la totalité de notre infra, rien ne nous échappe, même les vulnérabilités sont remontées en temps réel sur notre téléphone ! 😊

Alertes Slack, découverte de vulnérabilités

Conclusion

L’installation d’un SOC (Security Operations Center) « maison » offre une série d’avantages non négligeables pour la protection de votre réseau du domicile. En centralisant la surveillance et la gestion de la sécurité, vous renforcez votre capacité à détecter et à répondre efficacement aux menaces et aux incidents.

De plus, dans ce SOC maison, vous prenez le contrôle de votre cybersécurité, ce qui contribue à renforcer votre tranquillité d’esprit et la protection de votre foyer dans un paysage numérique un tantinet assombrit…

Florian Dudaev
0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

" Le savoir est la seule richesse que l'on puisse entièrement dépenser sans en rien la diminuer. "

A. Hampaté Bà

Articles récents

Catégories

Commentaires récents

Aucun commentaire à afficher.

Archives