Open_Source_SOC

Published on
Embed video
Share video
Ask about this video

Scene 1 (0s)

Projet de Fin d'Études - Master Professionnel 2025/2026 •ÉPLOIEMENT D'UN SOC OPEN SOURCE Détection d'lntrusion, Corrélation d'Événements et Gestion Automatisée des Incidents Cas d'application : TechSolutions ERP Produit sécurisé : SYNERGIE ERP Équipe d'ingénierie SOC : El Mehdi BOUJRAD Salah ALALI Ayoub BOUMADAGHEN Zakariya ASAMEDI NotebookLM.

Scene 2 (12s)

o RGPD L'URGENCE RÉGLEMENTAIRE Menaces avancées en hausse. Directives strictes incontournables • RGPD, NIS2, ISO 27001. La journalisation et la réponse aux incidents ne sont plus de simples options. ERP LA CIBLE : SYNERGIE ERP Le produit centralise les données commerciales, financiéres et clients les plus critiques. Une compromission menace la survie méme de l'entreprise. LE BOUCLIER : LE SOC Nécessité absolue d'une capacité endogene pour centraliser, détecter, corréler et répondre aux cybermenaces en temps réel..

Scene 3 (32s)

TECHSOLUTIONS & SYNERGIE ERP Éditeur métier TechSolutions ERP développe des solutions vitales pour la gestion opérationnelle et financiére des entreprises. Produit phare SYNERGIE ERP, manipulant quotidiennement des données clients hautement confidentielles et sensibles. Enjeu critique Assurer la disponibilité continue, la tragabilité infaillible et la protection intégrale des données. Infrastructure de départ hybride Web Server DB Server File Server ERP SYNERGIE 0000 - 0000 - Environnement virtualisé interne (Proxmox).

Scene 4 (47s)

LA PROBLÉMATIQUE : L'AVEUGLEMENT INITIAL —Ö Logs dispersés Aucune corgélption as e supervision réseau—Y VPS Cloud VPS Cloud VPS Cloud 1 Go de logs/jour perdus Réseau Interne Gestion d'incidents informelle Visibilité Zéro DÉFI : Comment concevoir un SOC open source, ä budget zéro, capable de superviser cet environnement hybride de bout en bout et de structurer la réponse aux incidents ? NotebookLM.

Scene 5 (1m 3s)

LE CHOIX STRATÉGIQUE DE L'OPEN SOURCE LES CONTRAINTES Budget de licence : 0 € Ressources matérielles LA SOLUTION de Ia PME limitées Exigence stricte de souveraineté des données L'ÉCOSYSTÉME Maitrise totale : Données hébergées en interne. Consolidation Proxmox : Hyper-optimisation du matériel existant. [Répons å Incident (IR)I [Bastion / Monitoring] [Vulnérabilitésl [IDS / Réseaul [SIEMI NotebookLM.

Scene 6 (1m 16s)

ARCHITECTURE GLOBALE DU SOC 04.2) VLAN 50 : Test / Demo (Kali, VMS de tir) VLAN 60 • App / DB internes VLAN 40: Incident Response (DNR-IRIS, cortex) 4 VPS (SYNERGIE ERP) 1 1 1 pfSense (Routage & Filtrage) LAN 10 : Management (JumpServer, SMTP) VLAN 30 : Security (Suricata, OpenVAS) VLAN 20 : SOC stack (Wazuh, Elastic, Prometheus, Grafana) NotebookLM.

Scene 7 (1m 32s)

L'ÉCOSYSTÉME SOC & LA TASK FORCE El Mehdi BOUJRAD Infrastructure, Réseau & Acces Ayoub BOUMADAGHEN Détection Réseau & Vulnérabilités Suricata OpenVAS/ Greenbone Salah ALALI SIEM & Détection Höte Zakariya ASAMEDI Monitoring & Réponse å Incident (DFIR) t•btebookLM.

Scene 8 (1m 42s)

INFRASTRUCTURE & RÉSEAU : LE SOCLE DE CONFIANCE Équipe: El Mehdi Connectivité Cloud intégrale chiffrée Cloisonnement inter-VLAN strict (Deny by Default) Consolidation matérielle maximale Maillage VPN Tailscale Firewall pfSense 1 1 Zéro exposition sur I'lnternet public. Tous les flux d'administration sont encapsulés. Hyperviseur Proxmox VE.

Scene 9 (1m 53s)

ACCES BASTION : L'UNIQUE PORTE D'ENTRÉE Tailscale VPN Administrator • Bastion JumpServer MFA Obligatoire RBAC Strict (Röles isolés) Enregistrement Vidéo des Sessions VM Serveurs Cibles VPS / VMS internes REC AUDIT LOG : Enregistrement de la session SSH Équipe: El Mehdi SIEM Wazuh NotebookLM.

Scene 10 (2m 4s)

Entrée de l'entonnoir Serveurs Linux VPS Cloud pfSense JumpServer Hyperviseur Endpoints Workstations Applications Web Équipements Réseau — 1 Go de logs/jour SIEM WAZUH : LE CERVEAU CENTRAL Normalisation Wazuth MEger Normalisatxoo Diagramme en entonnoir géant Équipe: Salah Sortie de l'entonnoir Wazuh Indexer & Dashboard Une vision unifiée, filtrable et conforme aux exigences réglementaires. t•btebookLM.

Scene 11 (2m 16s)

DÉTECTION HöTE : RÉGLES ET COMPORTEMENTS CRITICAL ALERT THRESHOLD REACHED Équipe: Salah Brute Force SSH a: Logique : 5 échecs consécutifs d'authentification dans une fenétre de 60 secondes. Alerte de Sécurité Accis Hors Horaires Logique : Connexion réussie sur SYNERGIE ERP détectée en pleine nuit (ex•. 03h00). Intégrité des Fichiers (FIM) 'Rs '01000' 00100 Logique : Altération détectée sur les configurations systéme ou fichiers métier critiques. Routage immédiat pour investigation.

Scene 12 (2m 33s)

INSPECTION RÉSEAU : LA SONDE SURICATA 'Trific lhterkVL'AN bfSenSe:.-.-.....— Duplication (Traffic Mirroring / SPAN) Injections SQL Scans de reconnaissance Nmap Certificats TLS suspects Sonde Suricata (NIDS) eve.json Filebeat Équipe: Ayoub SIEM Wazuh NotebookLM.

Scene 13 (2m 43s)

VULNÉRABILITÉS : L'ÉVALUATION PROACTIVE Équipe: Ayoub Moyenne : Score 4.0 - 6.9 s.e Critique : Score 2 7.0 VPS SYNERGIE ERP OpenVAS / Greenboqe Plus de 178 000 tests de vulnérabilité réseaux (NVT) en continu. Ouverture automatique d'un ticket d'incident pour toute CVE avec score cvss 7.0 NotebookLM.

Scene 14 (2m 58s)

OBSERVABILITÉ : SUPERVISER LES SUPERVISEURS Grafana / Dashboard Dashboard < Équipe: Zakariya Soots Cæcaoet AIV 0 100 '020 v RAM node_exporter (Cibles) ' a-so '900 'S 30 SAM racuos '600 Scraping toutes les 1 5s 38.7% ISOC Prometheus (Série temporelle) Alertmanager Service SYNERGIE down ou CPU > = Notification instantanée aux administrateurs. Grafana (Dashboards temps réel) Garantir que le SOC reste opérationnel, méme sous attaque. NotebookLM.

Scene 15 (3m 12s)

DFIR & SOAR : ENRICHISSEMENT AUTOMATISÉ Équipe: Zakariya ALERTE Détection critique générée par SIEM NIDS. TRIAGE (DNR-IRIS) Ouverture automatique du ticket, extraction des IOCs (IP, Hash). ENRICHISSEMENT (CORTEX) Interrogation automatique de VirusTotal et AbuselPDB Malicious 100% REMÉDIATION L'analyste dispose d'un contexte total pour bloquer la menace et documenter l'action..

Scene 16 (3m 25s)

LA CHAiNE SOC : DE L'ÉVÉNEMENT LA VALEUR Grand Pipeline Équipe: Zakariya VISIBILITÉ Agents Wazuh, Port Mirroring DÉTECTION Suricata, OpenVAS CORRÉLATION Wazuh Manager, Régles métier INVESTIGATION Wazuh Dashboard, Grafana RÉPONSE DNR-IRIS, Cortex SOAR TRAGABILITÉ Archivage Min10, JumpServer Une chaine de confiance ininterrompue pour protéger les données de TechSolutions ERP NotebookLM.

Scene 17 (3m 39s)

000 VALIDATION EN LABORATOIRE : SCÉNARIO D'ATTAQUE / MENACE Tl - Force Brute SSH (Hydra) T2 - Reconnaissance & Scan de Ports (Nmap) Découverte Vulnérabilité Critique T4 - Höte Compromis & Fichier Suspect T5 - Indisponibilité d'un Service T6 - Élévation de priviléges Admin SCÉNARIOS D'ATTAQUES DÉTECTION / RÉUSSITE Équipe: Zakariya Détecté et corrélé par Wazuh Manager wazuh. Identifié instantanément par Suricata IDS SURICATA O) Signalé par OpenVAS, ticket IRIS ouvert OpenVAS Hachage enrichi via Cortex SOAR (VirusTotal) V'Ä Métriques capturées par Grafana, notification Alertmanager Session enregistrée et auditée par JumpServer Périmétre de test totalement isolé (VLAN 50). Zéro impact sur la production SYNERGIE. t•btebookLM.

Scene 18 (4m 1s)

PLAN DE LA DÉMONSTRATION PRATIQUE CONNEXION SÉCURISÉE CONNEXION SÉCURISÉE Tailscale BASTION Acces BASTION JumpServer LANCEMENT ATTAQUE LANCEMENT ATTAQUE DÉTECTION & ALERTE DÉTECTION & ALERTE wazuh. MTTD < 2m 1 TRIAGE INCIDENT TRIAGE INCIDENT DNR-IRIS Équipe: Zakariya ENRICHISSEMENT ENRICHISSEMENT IOC Cortex SOAR t•btebookLM.

Scene 19 (4m 10s)

RÉSULTATS DE LA MISE EN CUVRE Équipe: Zakariya MTTD (Temps moyen de détection validé) Sources de télémétrie centralisées VPS Cloud SYNERGIE supervisés sans port public k, Coüt de licence (Stack 100% Open Source) SYNERGIE ERP est désormais protégé par une infrastructure souveraine, proactive et conforme. NotebOOkLM.

Scene 20 (4m 23s)

LIMITES ACTUELLES ET PERSPECTIVES Équipe: Zakariya - LIMITESDU L'ABORATOlRÉiPFE4 Absence;de¯clusteÖHaute Disponibilité (HA) matéiiel Quotas de-requétes limités•. syles API de Threat Intelligence gratuites PERSPECTIVES DE MATURATION ooo ooo 00 0 Bascule vers un cluster Proxmox HA et stockage distribué SOAR avancé : Création de — playbooks de remédiation 100% automatiques Intégration de I'lntelligence Artificielle pour l'assistance å l'investigation Webodd-M.

Scene 21 (4m 36s)

CONCLUSION Équipe: Zakariya De I'aveuglement.absolu äJ-hyper-visibiIité L'infrastructure de TechSolutions ERP a été métamorphosée. Elle dispose aujourd'hui d'un SOC souverain, unifié et évolutif. Le produit SYNERGIE ERP est doté d'un bouclier opérationnel, garantissant la confiance totale de ses clients face aux cybermenaces. ERP SYNERGIE ERP tbtebOOkLM.