Aller au contenu
TAAF-OPS --:-- UTC

SAE SIEM TAAF — Consignes & évaluation

Acte 2 · SIEM SAE évaluée Sigma · LogQL · Grafana · Discord

🎯 Mission — montez le SOC Grafana-natif qui aurait vu venir l’incident rejoué au jour J, et prouvez-le : des règles qui détectent, une alerte qui tombe, une couverture mesurée.

Pas un produit à part : une couche détection posée sur la stack d’observabilité de l’Acte 1 (Alloy → Loki → Grafana).

  • Détection-as-code — règles Sigma (mappées MITRE ATT&CK) compilées en LogQL (pySigma-backend-loki).
  • AlertingGrafana Alerting → Discord, notification policies par sévérité.
  • SourcesFalco (runtime), Suricata / Zeek (réseau), AD / PostgreSQL / NextCloud → Loki.
  • Couverture — tagging ATT&CK + visualisation (S2AN → Navigator).

L’attaque rejouée à la date du jour (J) (cf. threat model), étapes « actives » :

#ÉtapeSource à exploiter
#1Phishing e.bernard → auth VPN/AD hors plage01_phishing, 02_auth_vpn_ad
#4Vol de genetic_samples (KER-2024-002)access log PostgreSQL
#6Anti-forensic (effacement .bash_history)Falco
#7C2 / DNS cdn-meteo-sync.netZeek / Suricata
#8Blast radius SSO (identité → NextCloud classifié)AD + NextCloud
OrdreTP
PrérequisSSO AD ↔ NextCloud
1Détection Sigma → LogQL
2Alerting & Discord
3Couverture & Corrélation
BonusWazuh · Windows · Capstone SOAR

Rendu PDF nom-prenom-promo.pdf sur Moodle :

  1. Règles de détection Sigma + leur compilation LogQL — au moins une par étape #1 / #4 / #6 / #7.
  2. Capture de l’alerte Discord déclenchée par le rejeu de l’incident.
  3. Dashboard de couverture ATT&CK (Navigator) + commentaire des angles morts.
  4. Note de corrélation : relier ≥ 2 sources sur une même étape de la kill chain.
  5. Dossier : démarche, choix d’implémentation, limites.
CritèrePoids
Détections qui matchent réellement (testées sur le rejeu)35 %
Alerting fonctionnel (Discord, sévérité)20 %
Couverture ATT&CK + analyse des manques20 %
Corrélation multi-sources15 %
Clarté du dossier10 %
  • Groupe : 4 personnes max · Durée : projet multi-séances.
  • Prérequis : Acte 1 terminé (stack observabilité opérationnelle) + TP SSO AD ↔ NextCloud.
  • Golden-box : le cœur tient en ~3-4 Go ; pas de JVM OpenSearch dans le tronc commun.