Construisons un “SOC maison” avec seulement 100 euros

Technology Cathrine REPORT

Alessandro Molinari : 19 juin 2024 07:47

Aujourd’hui, nous commençons une nouvelle série d’articles qui exploreront le monde de la cybersécurité d’un point de vue unique et complet, combinant les deux aspects de la sécurité : l’équipe rouge et l’équipe bleue. Cette approche, communément appelée « Purple Team », intègre des techniques offensives et défensives pour fournir une compréhension globale des menaces et des solutions de sécurité.

Dans le premier article de la série, nous vous guiderons tout au long du processus de création d’un Centre des opérations de sécurité domestique (SOC). avec un budget d’environ 100 euros. En tirant parti d’un miniPC équipé de 16 Go de RAM et d’un SSD externe haute vitesse, nous construirons un environnement complet et fonctionnel pour surveiller, analyser et répondre aux menaces.

Composantes du SOC national

Notre SOC sera composé d’une série d’outils open source puissants et polyvalents, intégrés ensemble pour offrir une solution de sécurité complète. Voici les éléments clés :

  1. Wazuh intégré avec VirusTotal: Pour gérer les informations de sécurité et détecter les menaces en temps réel.
  2. Mélanger: Une plateforme d’orchestration, d’automatisation et de réponse de sécurité (SOAR) pour automatiser les processus de réponse aux incidents.
  3. Cortex: Pour la collecte et l’analyse des renseignements de sécurité.
  4. La ruche: pour la gestion de cas et la collaboration entre équipes (vous et vous-même dans ce cas).

Aperçu du laboratoire

Soutenez Red Hot Cyber ​​​​via

Pour tester notre SOC, nous créerons un réseau de test qui comprendra :

  • Un conteneur Ubuntu avec Canari rouge atomique pour simuler différents types d’attaques basées sur le framework MITRE ATT&CK.
  • Deux machines Kali Linux: Un à l’intérieur du réseau AD et un à l’extérieur, pour effectuer des attaques manuelles et tester les vulnérabilités sous différents angles.
  • Un domaine Active Directory avec un contrôleur de domaine Windows Server 2019 et deux membres de domaine Windows 10.

Nous avons configuré notre laboratoire en utilisant Proxmox, une puissante plateforme de virtualisation open source. Le choix de Proxmox est motivé par sa capacité à réaliser bien plus que ce qui est possible avec des machines virtuelles gérées dans un environnement de virtualisation de niveau deux, même en utilisant du matériel médiocre.

Différences entre les niveaux de virtualisation

  • Virtualisation de niveau 1 (hyperviseur Bare-Metal): Dans ce modèle, l’hyperviseur est installé directement sur le matériel physique, sans avoir besoin d’un système d’exploitation hôte. Ce type de virtualisation offre des performances quasi natives, une efficacité élevée et une surcharge réduite. Les exemples incluent VMware ESXi, Microsoft Hyper-V et Proxmox VE.
  • Virtualisation de niveau deux (hyperviseur hébergé): Dans ce modèle, l’hyperviseur s’exécute sur un système d’exploitation hôte. Ce type de virtualisation est plus facile à mettre en place mais implique plus de frais généraux et des performances inférieures à la virtualisation de premier niveau. Les exemples incluent VirtualBox et VMware Workstation.

Grâce à Proxmox, nous pouvons gérer efficacement plusieurs machines virtuelles et conteneurs avec des ressources matérielles limitées, atteignant des performances élevées grâce à la virtualisation de première couche. Vous trouverez ci-dessous quelques captures d’écran montrant la configuration de notre environnement de test :

Dans la capture d’écran ci-dessus, vous pouvez voir la liste des machines virtuelles et des conteneurs configurés dans notre SOC. Chaque composant est clairement étiqueté pour faciliter l’identification et la gestion.

L’écran des ressources système nous montre l’utilisation du processeur, de la mémoire et du stockage de notre miniPC. Comme vous pouvez le constater, notre système est configuré pour optimiser l’utilisation des ressources disponibles, garantissant ainsi des performances efficaces. Comme nous le voyons ci-dessus, nous avons actuellement actifs :

  • 2 conteneurs Kali (un à l’intérieur du réseau Active Directory et un à l’extérieur)
  • 2 machines Ubuntu Server (on ne sait jamais qu’une seule ne suffit pas)
  • 2 machines Windows comprenant un Serveur – Contrôleur de domaine et un Client « Batman » (plus loin, dans la section dédiée aux attaques sur Active Directory nous découvrirons que son administrateur local s’appelle Bruce Wayne)

Articles à venir

Dans les prochains articles, nous explorerons différents types d’attaques que nous pouvons lancer contre ce réseau et analyserons les techniques de défense mises en œuvre par notre SOC. Nous examinerons en détail les stratégies de l’équipe rouge pour compromettre la sécurité du système et les tactiques de l’équipe bleue pour détecter, atténuer et répondre aux incidents.

Conclusion

Construire un SOC domestique est non seulement un défi intéressant mais aussi un excellent moyen d’améliorer vos compétences en cybersécurité. Avec un investissement minimal, nous pouvons créer un laboratoire avancé qui nous permettra de mieux explorer et comprendre la dynamique de l’attaque et de la défense.

Restez à l’écoute de RedHotCyber.com pour le prochain article de la série, où une fois l’installation des autres composants (Shuffle, The Hive et Cortex) terminée, nous construirons un SOC qui n’a rien à envier aux professionnels et un véritable environnement de test complet.

Alessandro Molinari
Directeur de croisière 6 mois par an, parle italien, anglais, allemand, français, espagnol, portugais, russe et étudie actuellement le japonais. Il est titulaire de Comptia A+, Network+, Security+ et étudie actuellement Pentest+ et CySa+. Pendant son temps libre, il fait du sport et lit/écoute des livres 60 à 120 minutes par jour. Il soutient qu’un grand pouvoir implique de grandes responsabilités, comme éduquer ceux qui ont des difficultés à naviguer dans le monde numérique et éventuellement les défendre contre les « pirates » et les entités qui nuisent à la planète et à la liberté des individus. Il affirme également que l’avenir naturel de la vie biologique est la fusion et l’intégration avec le numérique, une transition qui, entre autres, a déjà commencé avec le mouvement transhumaniste dont il est partisan.

PREV Le studio de développement Days Gone s’excuse pour les faux espoirs concernant la suite
NEXT YouTube Premium : nouvelles fonctionnalités et abonnements bientôt disponibles, également en Europe

Related posts

temps de course, streaming, programme TV8 et Sky

Quelqu’un se plaint parce que le Tour de France ne passe pas par Sibari

après que Douglas Luiz ferme également pour Thuram

Suisse-Italie, bulletins : seul Donnarumma est sauvé. Civière méconnaissable