Aller au contenu
TAAF-OPS --:-- UTC

Acte 0 · Phases 4-5 — Peupler le scénario & valider

Acte 0 · Mise en place Phases 4-5 — Scénario & validation

Les services tournent mais sont vides. On y injecte l’univers de l’incident rejoué à la date du jour (J) par le générateur (data/taaf_log_generator, date-rolling) — ce que les Actes 1-3 vont observer, détecter et prouver. Chaque seed est un script joué délibérément et expliqué, jamais caché dans le provisioning. Les données existent déjà dans le dépôt data ; on ne fait que les charger.

Fenêtre de terminal
# On suppose le repo de données cloné à côté
git clone https://gitlab.com/kds-formation/data.git

Source : data/Base Port-aux-Français/MDV_Biodiversity_Data.sql (tables endemic_species, genetic_samples — dont KER-2024-002, CLASSIFIED).

Fenêtre de terminal
docker exec -i postgres-af psql -U taaf_admin -d base_af \
< "data/Base Port-aux-Français/MDV_Biodiversity_Data.sql"

Checkpoint :

Fenêtre de terminal
docker exec -it postgres-af psql -U taaf_admin -d base_af \
-c "SELECT sample_id FROM genetic_samples WHERE sample_id='KER-2024-002';"
# → 1 ligne. La cible du vol existe.

Source : data/NextCloud/ (Biologie-Marine, Document-Technique, Administratif [docs E. Bernard], Sismologie…) → le coffre que l’attaquant exfiltre.

Fenêtre de terminal
# Copier les dossiers dans l'espace de l'admin NextCloud
docker cp data/NextCloud/. nextcloud-alfred-faure:/var/www/html/data/admin.cloud.af/files/
# Re-scanner pour que NextCloud indexe les fichiers
docker exec -u www-data nextcloud-alfred-faure php occ files:scan admin.cloud.af

Checkpoint : les dossiers apparaissent dans l’UI (http://IP_VM2:8081), dont Administratif/.

Source : data/taaf_log_generator (générateur TAAF-Rolling, piloté par _scenario/entities.yaml) → produit toutes les sources de la kill chain, datées du jour (date-rolling) : phishing .eml, Windows LotL, auth VPN/AD, accès DB (SQL), Falco, Zeek (ssl/conn/arp), télémétrie SATCOM.

Fenêtre de terminal
cd data/taaf_log_generator
make install # pyyaml
make incident SEED=2026-A # tous les logs du scénario, datés du jour, propres à votre promo
make ingest # promtail → Loki (adapter __path__)

Checkpoint : dans Grafana → Explore (datasource Loki), les logs du scénario sont interrogeables :

{log="ssl"} |= "x25519" != "X25519MLKEM768"

Checklist finale avant l’Acte 1 :

  • vagrant status → VM monitoring running
  • PostgreSQL base_af répond, genetic_samples peuplée (KER-2024-002 présent)
  • NextCloud répond (:8081), documents data/NextCloud/ visibles
  • Grafana / Prometheus / Loki répondent (checkpoints Phase 3)
  • Logs de l’incident (datés du jour) visibles dans Grafana/Loki (requête LogQL ci-dessus)

Active Directory n’est pas requis ici : il est monté plus tard, dans le TP d’intégration Windows (Acte 2).

→ ✅ tout coché = feu vert pour l’Acte 1 — Monitoring.

Fenêtre de terminal
./scripts/setup/04-seed-scenario.sh # SQL + docs NextCloud + génération logs, puis checkpoints