Aller au contenu
MB
Étude de casSOCDetection EngineeringIAMHardeningAutomation

Panther ASOC

Un environnement SOC open source automatisé et scalable, orienté détection proactive, réponse, intégration IAM, durcissement et résilience.

Objectif

Concevoir une plateforme SOC modulaire et proche production, capable de surveiller et défendre un environnement de type entreprise.

Stack technique

Proxmox VEpfSenseActive DirectoryWazuhAnsibleSuricataTheHiveVeeamLDAP
Retour aux projets

Vue d'ensemble

Panther ASOC est un environnement SOC open source de bout en bout, conçu comme une petite plateforme de sécurité d'entreprise plutôt qu'un simple lab. L'objectif est de relier infrastructure, identité, visibilité réseau, télémétrie endpoint, gestion d'incident et résilience backup dans un environnement modulaire.

Le projet utilise Proxmox VE pour la virtualisation, pfSense pour le contrôle réseau, un Active Directory durci pour l'identité, Wazuh comme plateforme SOC centrale, Suricata pour la détection réseau, TheHive pour le traitement d'incidents et Veeam Backup Community pour la reprise.

Contexte / Problème

Beaucoup de projets SOC personnels s'arrêtent à la collecte de télémétrie. Ils déploient un SIEM, envoient quelques logs et considèrent l'environnement terminé. C'est utile pour apprendre des dashboards, mais cela reflète mal le fonctionnement réel d'une équipe sécurité.

Je voulais que la plateforme réponde à des questions plus pratiques :

  • Comment les événements d'identité et endpoint se complètent-ils ?
  • Comment automatiser déploiement et durcissement pour rendre l'environnement répétable ?
  • Comment relier contrôles réseau, services d'annuaire, règles de détection, playbooks de réponse et stratégie backup ?
  • Que faut-il pour qu'une stack open source soit opérationnelle plutôt que décorative ?

Architecture / Design

Diagramme d'architecture SOC

Visuel prévu : zones identité, clients, tooling SOC, sécurité réseau, backup et workflows de réponse.

L'architecture est volontairement modulaire. Chaque composant a une responsabilité claire et les scripts d'automatisation rendent les reconstructions prévisibles. C'est important parce qu'un environnement SOC doit être testable et maintenable.

Implémentation

L'implémentation s'est organisée autour de trois axes.

D'abord, la construction de l'infrastructure virtualisée et des frontières réseau avec Proxmox VE et pfSense. Cette base permet d'héberger services segmentés, actifs de domaine, clients Windows/Linux et composants de monitoring.

Ensuite, le déploiement et le durcissement d'Active Directory avec clients Windows et Linux. L'identité n'est pas traitée comme une dépendance secondaire, mais comme une source centrale de contrôle d'accès, politiques, événements d'authentification et contexte opérationnel.

Enfin, l'automatisation avec Ansible. Le déploiement des agents Wazuh, les étapes de durcissement et les tâches récurrentes sont scriptés pour éviter la dérive manuelle.

Considérations sécurité

Le projet met en avant des contrôles pertinents pour un environnement réel :

  • durcissement identité et intégration LDAP centralisée ;
  • segmentation réseau avec pfSense ;
  • télémétrie endpoint via agents Wazuh ;
  • détection réseau via Suricata ;
  • playbooks de réponse active sur scénarios ciblés ;
  • sauvegarde et reprise via Veeam Backup Community ;
  • règles de détection personnalisées reliées à des actions concrètes.

La plateforme n'est pas présentée comme un remplacement d'outils SOC enterprise. C'est un environnement d'ingénierie contrôlé pour apprendre, tester et démontrer l'articulation des composants.

Compromis et difficultés

Le principal compromis porte sur la profondeur plutôt que l'accumulation d'outils. Ajouter des composants est simple ; rendre l'environnement cohérent l'est beaucoup moins. J'ai privilégié la qualité d'intégration, la répétabilité et la pertinence sécurité.

Un autre enjeu était d'éviter une logique purement dashboard. Un SOC ne doit pas seulement afficher des alertes ; il doit aider à comprendre l'incident, l'identité ou l'actif concerné, l'action disponible et la capacité de récupération.

Résultats

Panther ASOC démontre :

  • une architecture SOC open source modulaire ;
  • le déploiement automatisé d'agents et de durcissement avec Ansible ;
  • du contexte identité centralisé via Active Directory et LDAP ;
  • de la détection hôte et réseau avec Wazuh et Suricata ;
  • du suivi d'incident avec TheHive ;
  • une base de résilience avec Veeam ;
  • une fondation pour règles de détection et playbooks de réponse.

Ce que j'ai appris

Le projet confirme que la détection n'est pas isolée de l'IAM. Données d'identité, modèles d'accès, événements d'annuaire, comportement endpoint et télémétrie réseau influencent la qualité d'une investigation.

Il renforce aussi la valeur de l'automatisation. Un lab reconstructible et extensible devient une plateforme d'ingénierie, pas seulement une démo fragile.

Stack technique

Proxmox VE, pfSense, Active Directory, clients Windows, clients Linux, Wazuh, Ansible, Suricata, TheHive, Veeam Backup Community, LDAP.

Liens associés

Le dépôt et les diagrammes pourront être ajoutés lorsque la publication publique sera prête.

Points clés

  • La crédibilité SOC dépend du contexte identité, des chemins de réponse et de la résilience.
  • L'automatisation rend la plateforme répétable et plus proche des pratiques production.
  • L'open source peut démontrer une réflexion sécurité enterprise sérieuse lorsque l'architecture est cohérente.