ITSkillsCenter
Cybersécurité

SOC et SIEM : détecter les incidents de sécurité

3 دقائق للقراءة
SOC et SIEM : détecter les incidents de sécurité

Ce que vous saurez faire à la fin

  1. Monter un SOC minimal avec Wazuh
  2. Collecter logs de vos sources
  3. Écrire des règles de détection Sigma
  4. Automatiser la réponse avec un SOAR
  5. Mesurer MTTD et MTTR

Étape 1 — Concepts

SOC   équipe surveillance 24/7
SIEM  plateforme logs corrélés
SOAR  playbooks auto
XDR   SIEM + EDR + NDR intégrés
MTTD  temps moyen détection
MTTR  temps moyen réponse

Étape 2 — Sources logs

Identité:   Azure AD, Google Workspace
Endpoints:  Windows Event, Linux auditd
Réseau:     firewall, VPN, DNS
Cloud:      CloudTrail, Activity Log
Apps:       PostgreSQL, Gitlab audit
Email:      O365 audit

Étape 3 — Déployer Wazuh

git clone https://github.com/wazuh/wazuh-docker.git -b v4.8.0
cd wazuh-docker/single-node
docker compose up -d

# Accès: https://localhost (admin/SecretPassword)

Étape 4 — Agent

curl -so wazuh-agent.deb \
  "https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.8.0-1_amd64.deb"
sudo WAZUH_MANAGER='siem.example.sn' dpkg -i wazuh-agent.deb
sudo systemctl enable --now wazuh-agent

Étape 5 — Règle custom

<rule id="100010" level="10">
  <if_sid>5716</if_sid>
  <srcip>!192.168.0.0/16</srcip>
  <description>Brute-force SSH depuis IP externe</description>
  <mitre><id>T1110</id></mitre>
</rule>

Étape 6 — Sigma

title: Suspicious PowerShell
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\powershell.exe'
    CommandLine|contains:
      - 'DownloadString'
      - 'IEX '
      - 'FromBase64String'
  condition: selection
level: high
tags:
  - attack.t1059.001
pip install pysigma pysigma-backend-elasticsearch
sigma convert -t es-qs rule.yml

Étape 7 — Alertes Elastic Watcher

{
  "trigger": { "schedule": { "interval": "1m" } },
  "input": {
    "search": {
      "request": {
        "indices": ["logs-auth-*"],
        "body": {
          "query": { "bool": { "filter": [
            { "match": { "event.outcome": "failure" } },
            { "range": { "@timestamp": { "gte": "now-5m" } } }
          ]}},
          "aggs": { "per_user": { "terms": { "field": "user.name" }}}
        }
      }
    }
  },
  "condition": { "script": "return ctx.payload.aggregations.per_user.buckets.stream().anyMatch(b -> b.doc_count > 20)" },
  "actions": { "slack": { "webhook": { "url": "..." }}}
}

Étape 8 — SOAR avec Shuffle

docker run -d -p 3001:3001 frikky/shuffle:latest
Workflow SOAR:
1. Trigger: Wazuh alert "Brute force SSH"
2. GeoIP lookup
3. VirusTotal réputation IP
4. Si abuse_score > 70:
   - Bloquer IP dans AWS SG
   - Créer ticket Jira
   - Slack #soc
5. Sinon: assigner L1 pour validation

Étape 9 — KPIs

MTTD         cible < 1h critical
MTTR         cible < 4h
False Positive cible < 20%
Coverage MITRE cible > 60%
Auto-playbook  cible > 40%

Étape 10 — Checklist démarrage SOC

✓ Wazuh/Elastic déployé
✓ Agents sur endpoints critiques
✓ Sources cloud intégrées
✓ 20+ règles custom
✓ Alertes Slack fonctionnelles
✓ SOAR pour playbooks basiques
✓ Runbooks écrits et testés
✓ Threat intel (OTX, Abuse.ch)
✓ Dashboard exec MTTD/MTTR
✓ Post-mortem après incident
✓ Exercice tabletop trimestriel
#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité