SOC (Security Operations Center)

Architecture

Le SOC repose sur une architecture modulaire et resiliente, couvrant l'integralite du cycle de vie de la menace : de la collecte de logs a la detection, jusqu'a l'orchestration de la reponse aux incidents.

Le coeur du systeme combine :

  • Wazuh (XDR/SIEM) pour la detection et la collecte
  • Stack Elastic (ELK) pour le stockage et l'analyse
  • MISP pour le renseignement sur les menaces (Threat Intelligence)
  • TheHive pour la gestion des incidents (Case Management)
  • Cortex pour l'enrichissement automatise des observables
  • Shuffle pour l'orchestration et l'automatisation de la reponse (SOAR)

Composants du SOC

Composant Fonction Deploiement
Wazuh Manager HIDS, detection intrusion, compliance SCA, collecte logs Cluster 3 noeuds HA
Wazuh Agents Collecte locale, FIM, rootkit detection Tous les serveurs (Linux/Windows)
Elasticsearch Stockage et indexation evenements Cluster 5 noeuds, 30 jours retention hot
Logstash ETL, enrichissement trafic (GeoIP), ingestion 2 instances (pipeline metrologie)
Kibana Visualisation, dashboards, alerting 2 instances HA derriere HAProxy
MISP Threat Intelligence, partage IOC, flux de menaces 1 instance, feeds communautaires
TheHive Case Management, suivi des incidents 1 instance
Cortex Enrichissement automatise des observables 1 instance, connecte a TheHive et MISP
Shuffle SOAR, orchestration des playbooks de reponse 1 instance, workflows automatises

Detection et Surveillance

Wazuh

Deploye sur les terminaux pour :

  • Detection d'intrusion (HIDS)
  • Integrite des fichiers (FIM)
  • Conformite (SCA)
  • Collecte centralisee des logs systeme et applicatifs

Collecte des logs

Wazuh assure directement la collecte des logs via ses agents deployes sur l'ensemble du parc. Les agents remontent les evenements vers le cluster Wazuh Managers en TCP 1514 (chiffre). Les logs sont ensuite indexes dans Elasticsearch pour le stockage long terme et la visualisation via Kibana.

Threat Intelligence (MISP)

MISP (Malware Information Sharing Platform) centralise le renseignement sur les menaces :

  • Feeds communautaires : abonnement aux flux de menaces publics et prives (CIRCL, abuse.ch, AlienVault OTX)
  • IOC management : centralisation et gestion des indicateurs de compromission (IPs, domaines, hashs, URLs)
  • Partage : echange d'indicateurs avec les CERT et partenaires de confiance
  • Integration Wazuh : les IOC MISP sont injectes dans les regles de detection Wazuh pour une detection proactive
  • Integration Cortex : les analyseurs Cortex interrogent MISP pour enrichir les observables lors des investigations

Gestion et Reponse aux Incidents

TheHive (Case Management)

Plateforme collaborative centrale. Les alertes critiques generees par Wazuh sont automatiquement converties en "cases" (tickets d'incident) dans TheHive, permettant le suivi, l'assignation et la documentation des investigations.

Cortex (Enrichissement)

Moteur d'analyse interconnecte a TheHive. Il permet d'analyser automatiquement les observables (IPs, Hashs, URLs) via des services tiers (VirusTotal, MISP, AbuseIPDB) pour qualifier la menace sans action manuelle.

Shuffle (SOAR)

Shuffle assure l'orchestration et l'automatisation de la reponse aux incidents :

  • Playbooks automatises : workflows de reponse predefined declences sur des alertes specifiques (ex: blocage automatique d'une IP malveillante sur FortiGate, isolation d'un poste compromis)
  • Integration centrale : connecte Wazuh, TheHive, Cortex, MISP et les equipements reseau dans des workflows unifies
  • Reduction du MTTR : les actions de reponse de niveau 1 sont automatisees (enrichissement, qualification, containment), liberant les analystes pour les investigations complexes
  • Exemples de workflows :
    • Alerte Wazuh critique → enrichissement Cortex → creation case TheHive → notification equipe SOC
    • IOC detecte → verification MISP → blocage automatique sur FortiGate → rapport d'incident

Pipeline SOC

  1. Collecte : Wazuh Agents collectent les logs et evenements sur tous les serveurs (Linux/Windows)
  2. Detection : Cluster Wazuh Managers analyse les evenements (regles de detection, correlation, IOC MISP)
  3. Stockage : Elasticsearch indexe les evenements pour retention et recherche
  4. Visualisation : Kibana fournit les dashboards de supervision securite
  5. Alerte : les alertes critiques declenchent un workflow Shuffle
  6. Enrichissement : Cortex analyse les observables (lookup VirusTotal, MISP, AbuseIPDB)
  7. Case Management : TheHive recoit le case enrichi pour investigation par les analystes
  8. Reponse : Shuffle execute les actions de containment automatisees (blocage IP, isolation poste)
  9. Capitalisation : les IOC confirmes sont reinjectes dans MISP pour ameliorer la detection future