SIEM — Détection des menaces (SOC Grafana-natif)
Acte 2 — Sentinelle
Section intitulée « Acte 2 — Sentinelle »La DSI voit, désormais. Mais voir ne suffit pas : des connexions anormales rôdent autour des liaisons satellite. Constater un incident, c’est déjà trop tard — il faut le détecter avant.
Vous transformez la supervision en sentinelle. Pas en déployant un produit à part : en posant une lentille sécurité sur la stack d’observabilité de l’Acte 1. Un SIEM, ici, c’est ce que vous faites de vos logs — des règles de détection, de la corrélation, de l’alerting.
→ Le parcours complet : fil rouge en 3 actes · le threat model (quel TP traite quelle menace).
Le principe : SOC Grafana-natif
Section intitulée « Le principe : SOC Grafana-natif »Une seule collecte (Alloy), un seul stockage (Loki), un seul langage (LogQL), une seule vitre (Grafana) — les mêmes que l’Acte 1 et l’Acte 3. La couche SIEM s’ajoute par-dessus :
- Détection-as-code — règles Sigma (standard, mappées MITRE ATT&CK) compilées en LogQL (
pySigma-backend-loki). Vous écrivez une détection, vous ne cliquez pas dans une UI propriétaire. - Alerting — Grafana Alerting (Alertmanager intégré) → Discord, avec notification policies par sévérité.
- Sources — Falco (IDS runtime) + Suricata / Zeek (réseau) + AD / PostgreSQL / NextCloud → Loki.
- Couverture — tagging ATT&CK + visualisation (S2AN → Navigator).
Ce que vous allez détecter
Section intitulée « Ce que vous allez détecter »L’attaque rejouée à la date du jour (J) (cf threat model). L’Acte 2 prend en charge ses étapes « actives » : #1 phishing/auth, #4 vol de genetic_samples, #6 anti-forensic, #7 C2/DNS, #8 blast radius SSO.
Travaux Pratiques
Section intitulée « Travaux Pratiques »| Ordre | TP | Ce que vous y faites |
|---|---|---|
| Prérequis | SSO AD ↔ NextCloud | Faire de l’AD le hub d’identité (#8) |
| 1 | Détection Sigma → LogQL | Écrire des règles, les compiler en LogQL |
| 2 | Alerting & Discord | Déclencher l’attaque, faire tomber l’alerte |
| 3 | Couverture & Corrélation | MITRE coverage + corrélation (et ses limites) |
| Bonus | Wazuh — SIEM clé-en-main | Comparer un SIEM monté vs celui que vous avez bâti |
| Bonus | Intégration Windows | Sources AD / Windows |
| Bonus | Capstone SOAR | Automatiser la réponse (Shuffle + MISP + Caldera) |
Livrables & évaluation
Section intitulée « Livrables & évaluation »Voir le CONSIGNES-SAE-SIEM pour les livrables et la grille.