Acte 0 · Phases 4-5 — Peupler le scénario & valider
Phase 4 — Peupler le scénario
Section intitulée « Phase 4 — Peupler le scénario »Les services tournent mais sont vides. On y injecte l’univers de l’incident rejoué à la date du jour (J) par le générateur (data/taaf_log_generator, date-rolling) — ce que les Actes 1-3 vont observer, détecter et prouver. Chaque seed est un script joué délibérément et expliqué, jamais caché dans le provisioning. Les données existent déjà dans le dépôt data ; on ne fait que les charger.
# On suppose le repo de données cloné à côtégit clone https://gitlab.com/kds-formation/data.git4.1 — Base de données (genetic_samples)
Section intitulée « 4.1 — Base de données (genetic_samples) »Source : data/Base Port-aux-Français/MDV_Biodiversity_Data.sql (tables endemic_species, genetic_samples — dont KER-2024-002, CLASSIFIED).
docker exec -i postgres-af psql -U taaf_admin -d base_af \ < "data/Base Port-aux-Français/MDV_Biodiversity_Data.sql"Checkpoint :
docker exec -it postgres-af psql -U taaf_admin -d base_af \ -c "SELECT sample_id FROM genetic_samples WHERE sample_id='KER-2024-002';"# → 1 ligne. La cible du vol existe.4.2 — Documents NextCloud
Section intitulée « 4.2 — Documents NextCloud »Source : data/NextCloud/ (Biologie-Marine, Document-Technique, Administratif [docs E. Bernard], Sismologie…) → le coffre que l’attaquant exfiltre.
# Copier les dossiers dans l'espace de l'admin NextClouddocker cp data/NextCloud/. nextcloud-alfred-faure:/var/www/html/data/admin.cloud.af/files/# Re-scanner pour que NextCloud indexe les fichiersdocker exec -u www-data nextcloud-alfred-faure php occ files:scan admin.cloud.afCheckpoint : les dossiers apparaissent dans l’UI (http://IP_VM2:8081), dont Administratif/.
4.3 — Logs de l’incident
Section intitulée « 4.3 — Logs de l’incident »Source : data/taaf_log_generator (générateur TAAF-Rolling, piloté par _scenario/entities.yaml) → produit toutes les sources de la kill chain, datées du jour (date-rolling) : phishing .eml, Windows LotL, auth VPN/AD, accès DB (SQL), Falco, Zeek (ssl/conn/arp), télémétrie SATCOM.
cd data/taaf_log_generatormake install # pyyamlmake incident SEED=2026-A # tous les logs du scénario, datés du jour, propres à votre promomake ingest # promtail → Loki (adapter __path__)Checkpoint : dans Grafana → Explore (datasource Loki), les logs du scénario sont interrogeables :
{log="ssl"} |= "x25519" != "X25519MLKEM768"Phase 5 — Validation « suis-je prêt ? »
Section intitulée « Phase 5 — Validation « suis-je prêt ? » »Checklist finale avant l’Acte 1 :
-
vagrant status→ VMmonitoringrunning - PostgreSQL
base_afrépond,genetic_samplespeuplée (KER-2024-002présent) - NextCloud répond (
:8081), documentsdata/NextCloud/visibles - Grafana / Prometheus / Loki répondent (checkpoints Phase 3)
- Logs de l’incident (datés du jour) visibles dans Grafana/Loki (requête LogQL ci-dessus)
Active Directory n’est pas requis ici : il est monté plus tard, dans le TP d’intégration Windows (Acte 2).
→ ✅ tout coché = feu vert pour l’Acte 1 — Monitoring.
Raccourci
Section intitulée « Raccourci »./scripts/setup/04-seed-scenario.sh # SQL + docs NextCloud + génération logs, puis checkpoints