Monitoring an Information System using a SIEM
Implémentation d'une solution SIEM au sein d'un système d'information ainsi que sa gestion et configuration.
Présentation du projet : Cybersécurité défensive et monitoring Wazuh
DISCLAIMER : Les images ne sont pas encore disponible en raisons d’attente d’autorisations
Ce projet s’inscrit dans le cadre de la cybersécurité défensive de l’entreprise. L’objectif principal était de sécuriser l’ensemble de l’infrastructure interne et de production, tout en assurant un monitoring centralisé des événements critiques. La mise en place d’une solution complète de détection et d’alerte était nécessaire pour répondre aux enjeux de sécurité croissants.
Schéma de l’architecture Wazuh + agents sur serveurs internes et production, flux de logs centralisés.
Objectifs et périmètre
Les objectifs étaient multiples : mettre en place et maintenir Wazuh pour l’ensemble des serveurs internes et de production, assurer la collecte exhaustive des logs et la détection des anomalies critiques, et fournir un monitoring centralisé pour les équipes opérationnelles. Le périmètre incluait également la configuration de VPN et la couverture des environnements clients et internes.
Rôle et responsabilités
Mon rôle principal consistait à installer Wazuh from scratch et à maintenir l’ensemble de l’infrastructure. J’assurais également le suivi des anomalies, le fine-tuning des règles existantes et la documentation complète des événements détectés. Bien que majoritairement orienté blue team en interne, j’ai appliqué des méthodes purple team pour préparer des scénarios de tests basés sur des anomalies réelles.
Architecture et outils de sécurité
L’infrastructure intègre Wazuh avec ses agents sur chaque serveur, Auditd pour maximiser la collecte des logs système, et Suricata pour la détection réseau. Les données sont centralisées sur un serveur dédié et accessibles via un tableau de bord unique pour le monitoring et l’analyse.
Chaque composant a été configuré pour fonctionner en harmonie, permettant un suivi précis des événements et la mise en place de règles adaptées à l’environnement de production et aux besoins de sécurité interne.
Les premiers pas de configuration des agents Wazuh
Monitoring, détection et fine‑tuning
Les événements collectés étaient analysés quotidiennement afin de réduire les faux positifs et d’affiner les règles de détection. Le fine-tuning a permis d’augmenter la pertinence des alertes, de prioriser les incidents critiques et d’assurer une réponse rapide aux menaces réelles.
Approche purple team et scénarios d’attaque
Bien que la majorité de mon travail en interne ait été orientée blue team, j’ai appliqué une méthodologie purple team pour documenter et analyser les anomalies réelles. Ces observations ont servi à créer des scénarios de tests et des scripts automatisés, exécutés de manière contrôlée pour tester la résistance de l’infrastructure.
Capture d’un scénario de simulation d’attaque avec alertes déclenchées.
Apports et compétences développées
Ce projet m’a permis de renforcer mes compétences en scripting et en automatisation, d’approfondir ma culture cybersécurité et d’améliorer ma méthodologie de monitoring et fine-tuning. J’ai également développé des compétences en communication interne et en documentation, essentielles pour transmettre la culture cyber à l’équipe et préparer des scénarios de sécurité réalistes.
| Catégorie | Technologies / Outils | Remarques / Utilisation |
|---|---|---|
| SIEM / Monitoring | Wazuh | Installation from scratch, centralisation des logs, alerting et dashboard de suivi |
| Collecte de logs | Auditd | Récupération exhaustive des événements système via les agents Wazuh |
| Détection réseau | Suricata | Analyse du trafic réseau et corrélation avec les logs Wazuh |
| Fine-tuning & Analyse | Règles Wazuh / Scripts personnalisés | Réduction des faux positifs, ajustement des alertes et automatisation de tests de sécurité |
| Documentation & Communication | Markdown / Guides internes | Capitalisation des anomalies, vulnérabilités et procédures pour les équipes internes et clients |
| Compétences développées | Scripting, méthodologie cyber, culture sécurité | Création de scénarios d’attaque contrôlés, automatisation et renforcement de la culture cyber |