SOC Lab Hyper-V

Architecture complète d'un Security Operations Center avec Wazuh SIEM/XDR, gestion centralisée des alertes et orchestration d'incidents via Shuffle.

SOC SIEM XDR Hyper-V Cybersécurité Orchestration
5+
Phases
3
Zones Réseau
7+
Outils Intégrés
100%
Automatisé

Architecture Complète

Schéma d'architecture complète SOC Lab Hyper-V avec Wazuh, Shuffle et flux de détection

Vue d'ensemble

Ce projet implémente un SOC (Security Operations Center) complet en environnement Hyper-V. L'architecture est conçue pour capturer, transporter, analyser et répondre aux incidents de sécurité en temps réel. Le système utilise Wazuh comme SIEM/XDR central, complété par Sophos XG Firewall pour la détection réseau et Shuffle pour l'orchestration automatisée des réponses aux incidents.

Phases du Cycle de Vie des Alertes

Phase 1 : CAPTURE

Collecte centralisée des événements de sécurité depuis plusieurs sources

  • SSH Access & Logs JSON - Accès sécurisé et logs structurés
  • Cowrie Honeypot - Container Docker pour détecter les brute force
  • Détection d'Activité Malveillante - Monitoring continu des comportements suspects

Phase 2 : TRANSPORT

Transmission sécurisée des logs vers le manager central

  • Agent Wazuh - Collecteur et envoyeur de logs sécurisé
  • Wazuh Manager - Port 1514 (UDP/TCP) - Cœur du SIEM
  • Chiffrement des Logs - Protection du transport des données
  • Commutateur PRIVÉ (DMZ) - VLAN 172.16.16.0/24 isolé

Phase 3 : ANALYSE & CORRÉLATION

Traitement intelligent et détection des incidents

  • Détection Brute Force SSH - Identification des tentatives d'accès non-autorisées
  • Alert SOC - Génération des alertes consolidées
  • Commutateur EXTERNE (Xsacuz) - Zone d'analyse sécurisée

Phase 4 : NOTIFICATION & ESCALADE

Dissémination des alertes via multiples canaux

  • Notifications SOC - Alertes vers l'équipe de sécurité
  • Canaux Multiples - Telegram, Discord, Twitter

Phase 5 : ORCHESTRATION & RÉPONSE

Automatisation des actions de réponse aux incidents

  • Shuffle Webhook API - Port 4444 (TTCP) - Orchestration d'incidents
  • Blocage IP Automatisé - Port 4244 (TCP) - Réponse immédiate aux menaces
  • Cas "Incident" - Gestion automatisée des incidents

Protections Supplémentaires

Couches de sécurité complémentaires

  • Sophos XG Firewall - Pare-feu avec détection réseau
  • Blocage IP - Pare-feu/IPS - Port 4244

Architecture Réseau Multi-Zones

Zone DMZ (172.16.16.0/24)

Commutateur PRIVÉ isolé. Contient l'agent Wazuh et la détection SSH.

Zone de Gestion (192.168.1.0/24)

Commutateur EXTERNE. Héberge le manager Wazuh, Shuffle et la base de données.

Zone Production (192.168.1.024)

Commutateur VLAN 192.168.1.0/24. Serveurs en production monitorés.

Sophos XG Firewall

Commutateur VLAN 192.168.1.024. Pare-feu avancé avec détection réseau.

Commutateur PRIVÉ (DMZ)

VLAN 172.16.16.0/24 - Isolé et sécurisé pour les agents de collecte.

Commutateur EXTERNE

Zone de gestion publique pour Shuffle et notifications externes.

Outils & Services Intégrés

Stack Technologique

Wazuh SIEM

Sophos Firewall

Shuffle API

Elasticsearch

Docker Cowrie

Alertes JSON

Hyper-V

Slack/Discord

Services Principaux

Wazuh Manager

Port: 1514 (UDP/TCP) - Cœur du SIEM/XDR. Collecte, corrèle et analyse les logs de sécurité.

Agent Wazuh

Déploiement sur les endpoints. Collecte les logs SSH, système et application.

Shuffle Webhook API

Port: 4444 (TTCP) - Plateforme d'orchestration pour l'automatisation des incidents.

Blocage IP Automatisé

Port: 4244 (TCP) - Réponse immédiate au contrôle central pour bloquer les menaces.

Sophos XG Firewall

Pare-feu avancé. Détection réseau et prévention des intrusions (NGFW).

Cowrie Honeypot

Container Docker. Leurre SSH pour capturer les brute force et exploits.

Flux de Données Complet

1. Attaque Détectée

Un attaquant tente un accès SSH ou exploit via le Sophos XG Firewall (VLAN 192.168.1.024).

2. Logs Capturés

Les logs SSH et les honeypot Cowrie envoient les événements au Manager Wazuh via l'Agent (Port 1514).

3. Analyse Wazuh

Wazuh SIEM/XDR corrèle les événements et génère des alertes en temps réel (JSON).

4. Alertes Générées

Création de cases "Incident" avec détails complets (attaquant, target, règle déclenchée).

5. Notifications

Shuffle reçoit l'alerte et envoie des notifications via Telegram, Discord, Twitter.

6. Blocage Automatisé

Shuffle déclenche le blocage IP automatisé (Port 4244 TTCP) via le pare-feu Sophos.

Caractéristiques Clés

Temps Réel

Détection et réponse aux incidents en temps réel avec SIEM/XDR Wazuh.

Sécurité Zonale

Architecture multi-zone avec DMZ isolée (VLAN 172.16.16.0/24) pour la capture.

Automatisation Complète

Orchestration d'incidents via Shuffle et blocage IP automatisé en réponse.

Scalabilité

Architecture Hyper-V permettant l'ajout de nouveaux agents et sources facilement.

Multi-Intégrations

Intégrations avec Sophos XG, Cowrie, Elasticsearch, et services externes (Slack, Discord).

Conformité

Logs JSON structurés, traçabilité complète et archivage sécurisé des alertes.

Retour aux Projets