SAE SIEM TAAF — Consignes & évaluation
🎯 Mission — montez le SOC Grafana-natif qui aurait vu venir l’incident rejoué au jour J, et prouvez-le : des règles qui détectent, une alerte qui tombe, une couverture mesurée.
Ce que vous construisez
Section intitulée « Ce que vous construisez »Pas un produit à part : une couche détection posée sur la stack d’observabilité de l’Acte 1 (Alloy → Loki → Grafana).
- Détection-as-code — règles Sigma (mappées MITRE ATT&CK) compilées en LogQL (
pySigma-backend-loki). - Alerting — Grafana Alerting → Discord, notification policies par sévérité.
- Sources — Falco (runtime), Suricata / Zeek (réseau), AD / PostgreSQL / NextCloud → Loki.
- Couverture — tagging ATT&CK + visualisation (S2AN → Navigator).
Ce que vous devez détecter
Section intitulée « Ce que vous devez détecter »L’attaque rejouée à la date du jour (J) (cf. threat model), étapes « actives » :
| # | Étape | Source à exploiter |
|---|---|---|
| #1 | Phishing e.bernard → auth VPN/AD hors plage | 01_phishing, 02_auth_vpn_ad |
| #4 | Vol de genetic_samples (KER-2024-002) | access log PostgreSQL |
| #6 | Anti-forensic (effacement .bash_history) | Falco |
| #7 | C2 / DNS cdn-meteo-sync.net | Zeek / Suricata |
| #8 | Blast radius SSO (identité → NextCloud classifié) | AD + NextCloud |
Parcours (TP de l’Acte 2)
Section intitulée « Parcours (TP de l’Acte 2) »| Ordre | TP |
|---|---|
| Prérequis | SSO AD ↔ NextCloud |
| 1 | Détection Sigma → LogQL |
| 2 | Alerting & Discord |
| 3 | Couverture & Corrélation |
| Bonus | Wazuh · Windows · Capstone SOAR |
Livrables
Section intitulée « Livrables »Rendu PDF nom-prenom-promo.pdf sur Moodle :
- Règles de détection Sigma + leur compilation LogQL — au moins une par étape #1 / #4 / #6 / #7.
- Capture de l’alerte Discord déclenchée par le rejeu de l’incident.
- Dashboard de couverture ATT&CK (Navigator) + commentaire des angles morts.
- Note de corrélation : relier ≥ 2 sources sur une même étape de la kill chain.
- Dossier : démarche, choix d’implémentation, limites.
Grille d’évaluation (indicative)
Section intitulée « Grille d’évaluation (indicative) »| Critère | Poids |
|---|---|
| Détections qui matchent réellement (testées sur le rejeu) | 35 % |
| Alerting fonctionnel (Discord, sévérité) | 20 % |
| Couverture ATT&CK + analyse des manques | 20 % |
| Corrélation multi-sources | 15 % |
| Clarté du dossier | 10 % |
Modalités
Section intitulée « Modalités »- Groupe : 4 personnes max · Durée : projet multi-séances.
- Prérequis : Acte 1 terminé (stack observabilité opérationnelle) + TP SSO AD ↔ NextCloud.
- Golden-box : le cœur tient en ~3-4 Go ; pas de JVM OpenSearch dans le tronc commun.