1 Mise en place d’une solution SOC open source

Sujet : Mise en place d’une solution SOC open source

Année Universitaire : 2023/2024

Présentation du rapport du projet de la matière

Projet Pentesting

Réalise par :

GHANMI Oussama
RIAHI Mortadha
IBENHAJABDELTIF Bilel
AZIZI Oumayma
2 Mise en place d’une solution SOC open source

1 Table des matières

............................................................................................................................. 1
Introduction général ................................................................................................................................... 5
Chapitre 1 : Analyse des menaces et des besoins ..................................................................................... 6
1.1 Introduction ................................................................................................................................... 6
1.2 Analyse des menaces .................................................................................................................... 6
1.2.1 Les menaces internes : .......................................................................................................... 6
1.2.2 Les menaces externes : .......................................................................................................... 7
1.2.3 Les menaces naturelles : ....................................................................................................... 7
1.3 Analyse des besoins ...................................................................................................................... 8
1.4 Solution proposée.......................................................................................................................... 9
1.5 Conclusion .................................................................................................................................... 9
2 Chapitre 2 : Architecture d’une solution SOC open source ......................................................... 10
2.1 Introduction ................................................................................................................................. 10
2.2 Architecture modulaire ............................................................................................................... 10
2.3 Composants d'une solution SOC open source............................................................................. 10
2.4 Architecture de la solution SOC open source ............................................................................. 10
2.5 Conclusion .................................................................................................................................. 11
3 Chapitre 3 : Conception et réalisation de la Solution SOC ........................................................... 12
3.1 Introduction ................................................................................................................................. 12
3.2 Installation d'ELK STACK et configuration ............................................................................... 12
3.2.1 C'est quoi ELK .................................................................................................................... 12
3.2.2 ELK Installation .................................................................................................................. 12
3 Mise en place d’une solution SOC open source

3.3 Installation et configuration de TheHive Cortex et MISP avec Docker.................................... 17

3.3.1 Instalation des composants : ............................................................................................... 18
3.3.2 Configuration CORTEX ..................................................................................................... 19
3.3.3 Configuration MISP ............................................................................................................ 20
3.3.4 Configuration THE HIVE ................................................................................................... 21
Conclusion Générale ................................................................................................................................. 22
4 Mise en place d’une solution SOC open source

2 Table des figures

Figure 1: Architecture de la solution ........................................................................................................... 11
Figure 2: Fichier config elasticsearch .......................................................................................................... 13
Figure 3: Fichier config elasticsearch .......................................................................................................... 13
Figure 4: Fichier config kibana.yml.............................................................................................................. 14
Figure 5: Fichier config kibana.yml.............................................................................................................. 14
Figure 6: Serveur ELK .................................................................................................................................. 15
Figure 7: Serveur ELK .................................................................................................................................. 16
Figure 8: Analyse de LOG sous Windows .................................................................................................... 17
Figure 9: Installtion des Composants .......................................................................................................... 18
Figure 10: Interface Cortex.......................................................................................................................... 19
Figure 11: Interface MISP ............................................................................................................................ 20
Figure 12: Configuration THE HIVE .............................................................................................................. 21
5 Mise en place d’une solution SOC open source

Introduction général
Dans un monde de plus en plus interconnecté, les cyberattaques sont devenues une menace majeure pour
les organisations de toutes tailles. Les cybercriminels sont de plus en plus sophistiqués et utilisent des
techniques de pointe pour infiltrer les systèmes informatiques et voler des données sensibles.

Pour se protéger contre ces menaces, les organisations doivent mettre en place des mesures de sécurité
efficaces. Un centre de sécurité opérationnel (SOC) est un élément essentiel de toute stratégie de sécurité
informatique.

Un SOC est une équipe dédiée à la surveillance, à la détection et à la réponse aux incidents de sécurité
informatique. Les SOC utilisent une variété de technologies et de techniques pour collecter des données
de sécurité, identifier les menaces potentielles et répondre aux incidents de sécurité.

La mise en place d'un SOC peut être un projet complexe et coûteux. Cependant, les avantages potentiels
d'un SOC bien conçu et mis en œuvre sont considérables. Un SOC efficace peut aider les organisations à :

- Réduire le risque d'incidents de sécurité

- Améliorer la visibilité de la sécurité
- Réduire le temps de réponse aux incidents
- Améliorer la conformité réglementaire
Ce rapport présente un cadre général pour la mise en place d'un SOC. Le rapport est divisé en deux
chapitres :
Chapitre 1 : Analyse des menaces et des besoins
Chapitre 2 : Architecture d’une solution SOC open source
Chapitre 3 : Réalisation
6 Mise en place d’une solution SOC open source

Chapitre 1 : Analyse des menaces et des besoins

2.1 Introduction
La mise en place d'un centre de sécurité opérationnel (SOC) est une décision importante pour
toute organisation. Un SOC efficace peut aider à réduire le risque d'incidents de sécurité, à
améliorer la visibilité de la sécurité et à répondre plus rapidement aux incidents.
Ce chapitre traite de l'importance de l'analyse des menaces et des besoins avant de mettre en
place un SOC. L'analyse des menaces permet d'identifier les différentes menaces auxquelles
une telle organisation est exposée. L'analyse des besoins permet de déterminer les
fonctionnalités et les performances requises pour le SOC.

2.2 Analyse des menaces

L'analyse des menaces est un processus qui permet d'identifier les différentes menaces
auxquelles une organisation est exposée. Cette analyse doit tenir compte des facteurs suivants :

 La taille et l'industrie d’une organisation

 Les actifs d’une organisation
 Les processus et les procédures d’une organisation
 Les objectifs d’une organisation

Les menaces peuvent être classées en plusieurs catégories, notamment :

2.2.1 Les menaces internes :

Les menaces internes sont celles qui proviennent des employés, des partenaires ou des sous-
traitants de l'organisation. Elles peuvent être intentionnelles ou non intentionnelles.

Les menaces internes intentionnelles sont souvent motivées par la vengeance,

l'enrichissement personnel ou la concurrence. Elles peuvent prendre des formes diverses,
notamment :

- L'espionnage : L'espionnage consiste à voler des informations sensibles à l'organisation.

- L'usurpation d'identité : L'usurpation d'identité consiste à utiliser les identifiants d'un
autre utilisateur pour accéder aux systèmes ou aux données de l'organisation.
- L'attaque par déni de service : Une attaque par déni de service consiste à rendre les
systèmes ou les services de l'organisation inaccessibles.

Les menaces internes non intentionnelles sont souvent causées par des erreurs humaines,
telles que :
7 Mise en place d’une solution SOC open source

- Les erreurs de configuration : Les erreurs de configuration peuvent ouvrir des portes
d'entrée aux cyberattaques.

- La perte ou le vol de données : La perte ou le vol de données peut entraîner une violation
de la confidentialité ou de l'intégrité des données.

- Les logiciels malveillants : Les logiciels malveillants, tels que les virus, les vers et les
chevaux de Troie, peuvent être introduits accidentellement dans les systèmes de
l'organisation.

2.2.2 Les menaces externes :

Les menaces externes sont celles qui proviennent d'acteurs malveillants, tels que les pirates
informatiques ou les espions. Elles sont généralement motivées par la vengeance,
l'enrichissement personnel ou la concurrence.

Les menaces externes peuvent prendre des formes diverses, notamment :

- Les cyberattaques : Les cyberattaques consistent à exploiter des vulnérabilités dans les
systèmes ou les applications de l'organisation pour accéder aux données ou les
endommager.
- L'ingénierie sociale : L'ingénierie sociale consiste à tromper les utilisateurs pour qu'ils
divulguent des informations sensibles ou ouvrent des portes d'entrée aux cyberattaques.
- Le phishing : Le phishing consiste à envoyer des e-mails ou des messages texte
frauduleux pour tromper les utilisateurs afin qu'ils divulguent des informations sensibles.
- Le ransomware : Le ransomware consiste à chiffrer les données de l'organisation et à
exiger une rançon pour les déchiffrer.

2.2.3 Les menaces naturelles :

Les menaces naturelles sont celles qui proviennent de phénomènes naturels, tels que les
catastrophes naturelles ou les pannes de courant. Elles peuvent avoir un impact important sur
la sécurité des organisations, notamment en provoquant des pertes de données, des
interruptions des activités et des violations de la confidentialité.

Les menaces naturelles peuvent prendre des formes diverses, notamment :

- Les catastrophes naturelles : Les catastrophes naturelles, telles que les ouragans, les
inondations et les tremblements de terre, peuvent endommager les infrastructures
physiques de l'organisation et rendre les systèmes inopérants.
- Les pannes de courant : Les pannes de courant peuvent interrompre les activités de
l'organisation et rendre les systèmes inaccessibles.
- Les tempêtes solaires : Les tempêtes solaires peuvent perturber les communications et les
systèmes électroniques
8 Mise en place d’une solution SOC open source

Il est important de comprendre les différents types de menaces auxquelles une organisation
est exposée afin de pouvoir mettre en place des mesures de sécurité efficaces pour les
atténuer.

2.3 Analyse des besoins

L'analyse des besoins est un processus qui permet de déterminer les fonctionnalités et les
performances requises pour un SOC. Cette analyse doit tenir compte des facteurs suivants :

 Les objectifs du SOC

 Les ressources disponibles
 Les besoins en matière de sécurité

Les besoins du SOC peuvent être classés en plusieurs catégories, notamment :

- Besoins en personnel :
Les besoins en personnel pour un SOC varient en fonction de la taille et de la complexité de
l'organisation. En général, un SOC doit disposer d'une équipe de professionnels qualifiés
dans les domaines suivants :
 La sécurité informatique : Les membres de l'équipe du SOC doivent avoir une
compréhension approfondie des principes de la sécurité informatique, des menaces et des
vulnérabilités.
 L'analyse des données : Les membres de l'équipe du SOC doivent avoir des compétences
en analyse des données pour pouvoir identifier les menaces potentielles dans les données
de sécurité.
 La réponse aux incidents : Les membres de l'équipe du SOC doivent avoir des
compétences en réponse aux incidents pour pouvoir prendre les mesures appropriées pour
atténuer les incidents de sécurité.

- Besoins en technologies :
Les besoins en technologies pour un SOC varient également en fonction de la taille et de la
complexité de l'organisation. En général, un SOC doit disposer des technologies suivantes :
 Un système de gestion des événements de sécurité (SIEM) : Le SIEM est un outil logiciel
qui collecte, analyse et centralise les données de sécurité provenant de différentes
sources.
 Un système de gestion des incidents de sécurité (SOAR) : Le SOAR est un outil logiciel
qui automatise les tâches de réponse aux incidents de sécurité.
 Des outils d'analyse des données : Ces outils sont utilisés pour analyser les données de
sécurité afin de détecter les menaces potentielles.
 Des outils de réponse aux incidents : Ces outils sont utilisés pour prendre les mesures
appropriées pour atténuer les incidents de sécurité.
9 Mise en place d’une solution SOC open source

- Besoins en processus
Les besoins en processus pour un SOC varient en fonction de la taille et de la complexité de
l'organisation. En général, un SOC doit disposer des processus et des procédures suivants :
 Un processus de surveillance de la sécurité : Ce processus définit les activités de
surveillance des données de sécurité.
 Un processus de détection des incidents de sécurité : Ce processus définit les activités de
détection des incidents de sécurité.
 Un processus de réponse aux incidents de sécurité : Ce processus définit les activités de
réponse aux incidents de sécurité.

2.4 Solution proposée

Sur la base de l'analyse des menaces et des besoins, la solution proposée pour la mise en place
d'un SOC est la suivante :

 Un SOC basé sur le cloud : Le cloud computing offre une flexibilité et une scalabilité qui
sont essentielles pour les SOC.
 Une architecture modulaire : Une architecture modulaire permet aux organisations de
choisir les composants qui répondent à leurs besoins spécifiques.
 Des outils et technologies open source : Les outils et technologies open source offrent un
bon rapport qualité-prix et une grande flexibilité.

2.5 Conclusion
L'analyse des menaces et des besoins est une étape essentielle dans la mise en place d'un
SOC. Cette analyse permet d'identifier les risques les plus importants auxquels l'organisation
est exposée et de déterminer les fonctionnalités et les performances requises pour le SOC.
10 Mise en place d’une solution SOC open source

3 Chapitre 2 : Architecture d’une solution SOC open source

3.1 Introduction
Dans le chapitre précédent, nous avons vu l'importance de l'analyse des besoins avant de mettre
en place un centre de sécurité opérationnel (SOC). Dans ce chapitre, nous allons voir comment
mettre en œuvre une solution SOC open source.

3.2 Architecture modulaire

Une solution SOC open source est généralement modulaire, ce qui permet aux organisations de
choisir les composants qui répondent à leurs besoins spécifiques. L'architecture modulaire est
également plus facile à mettre à jour et à maintenir.

3.3 Composants d'une solution SOC open source

Une solution SOC open source comprend généralement les composants suivants :

 Un système de gestion des événements de sécurité (SIEM) : Le SIEM est un outil logiciel
qui collecte, analyse et centralise les données de sécurité provenant de différentes
sources.
 Un système de gestion des incidents de sécurité (SOAR) : Le SOAR est un outil logiciel
qui automatise les tâches de réponse aux incidents de sécurité.
 Des outils d'analyse des données : Ces outils sont utilisés pour analyser les données de
sécurité afin de détecter les menaces potentielles.
 Des outils de réponse aux incidents : Ces outils sont utilisés pour prendre les mesures
appropriées pour atténuer les incidents de sécurité.

3.4 Architecture de la solution SOC open source

11 Mise en place d’une solution SOC open source

Figure 1: Architecture de la solution

L'architecture de la solution SOC open source dépend des besoins spécifiques de l'organisation.
Cependant, une architecture typique comprend les composants suivants :

 Un cloud public : Le cloud public est souvent utilisé pour héberger les composants d'une
solution SOC open source.
 Un réseau privé virtuel (VPN) : Le VPN est utilisé pour sécuriser la communication entre
les différents composants de la solution SOC.
 Un serveur SIEM : Le serveur SIEM est utilisé pour collecter, analyser et centraliser les
données de sécurité.
 Un serveur SOAR : Le serveur SOAR est utilisé pour automatiser les tâches de réponse
aux incidents de sécurité.
 Des serveurs d'analyse des données : Les serveurs d'analyse des données sont utilisés
pour analyser les données de sécurité afin de détecter les menaces potentielles.
 Des serveurs de réponse aux incidents : Les serveurs de réponse aux incidents sont
utilisés pour prendre les mesures appropriées pour atténuer les incidents de sécurité.

3.5 Conclusion
La mise en œuvre d'une solution SOC open source peut être une tâche complexe. Cependant, en
suivant une architecture modulaire, les organisations peuvent choisir les composants qui
répondent à leurs besoins spécifiques.
12 Mise en place d’une solution SOC open source

4 Chapitre 3 : Conception et réalisation de la Solution SOC

4.1 Introduction

Ce dernier chapitre est dédié à la conception et à la réalisation de la partie SOC. En nous

Appuyant sur la section précédente, nous allons maintenant ajouter les composants et pour
former la solution complète.

4.2 Installation d'ELK STACK et configuration

4.2.1 C'est quoi ELK
L'Elastic Stack, également connu sous le nom d'ELK Stack, est un ensemble d'outils open source
conçu pour la collecte, le traitement, le stockage, la recherche et la visualisation de données.
L'Elastic Stack est couramment utilisé pour l'analyse des journaux et des événements, mais il
peut être appliqué à divers autres cas d'utilisation impliquant des données structurées ou non
structurées.
L'Elastic Stack est composé des éléments suivants :
Elasticsearch : Un moteur de recherche et d'analyse de données distribué. Il est conçu pour
traiter de grands volumes de données et permet des recherches rapides et complexes.
Logstash : Un pipeline de traitement des données qui ingère, traite et transforme les données de
différentes sources. Il est souvent utilisé pour la collecte, l'enrichissement et la transmission des
données de journaux.
Kibana : Un outil de visualisation et d'exploration qui fournit une interface web pour interagir
avec les données stockées dans Elasticsearch. Il permet aux utilisateurs de créer des tableaux de
bord personnalisés, des visualisations et d'effectuer des analyses de données ad hoc.
Beats : Des expéditeurs de données légers qui envoient des données depuis diverses sources vers
Elasticsearch ou Logstash pour un traitement ultérieur. Les Beats sont conçus pour être légers et
avoir des besoins en ressources minimaux.

4.2.2 ELK Installation

Donc pour l’installation de ELK STACK on doit utiliser cet ordre :
 Elasticsearch
 Kibana
 Logstash
 Beats
13 Mise en place d’une solution SOC open source

ELK Configuration
Elasticsearch configuration

Toutes les configurations ont été effectuées dans le fichier elasticsearch.yml situé dans
/etc/elasticsearch/elasticsearch.yml. Pour l'ouvrir, utilisez la commande suivante : sudo nano
/etc/elasticsearch/elasticsearch.yml

Ce sont les chemins par défaut pour les données et les journaux d'Elasticsearch.

Figure 2: Fichier config elasticsearch

Ensuite, accédez à la section réseau du fichier. La section réseau est très simple, vous n'avez
même pas besoin de mentionner le port si vous utilisez celui par défaut. Cependant, vous
devez modifier http.port et annuler le commentaire si vous allez utiliser un autre port.

network.bind_host: 0.0.0.0 permettra l'accès distant au serveur Elasticsearch, ce qui nous

aidera à connecter les Beats à l'Elastic Stack ultérieurement.

Figure 3: Fichier config elasticsearch

14 Mise en place d’une solution SOC open source

Kibana configuration :

Toutes les configurations ont été effectuées dans le fichier kibana.yml situé dans /etc/kibana/kibana.yml.
Pour l'ouvrir, utilisez la commande suivante :

 sudo nano /etc/kibana/kibana.yml

Pour rendre Kibana accessible à distance, nous devons définir server.host: "0.0.0.0". Il n'y
a aucune restriction en ce qui concerne le port sur lequel cela doit se faire. Nous le
laisserons donc à la configuration par défaut qui est 5601.

Figure 4: Fichier config kibana.yml

Figure 5: Fichier config kibana.yml

15 Mise en place d’une solution SOC open source

Maintenant, redémarrez votre Kibana avec la commande suivante :

 sudo systemctl restart kibana

Maintenant, vous devriez pouvoir accéder à votre Kibana depuis le navigateur en utilisant
l'adresse http://192.168.159.139:5601.

Figure 6: Serveur ELK

Logstash configuration :
Maintenant, nous allons aborder la configuration de Logstash :
Utilisez la commande suivante pour afficher le contenu du fichier logstash-sample.conf :
bashCopy code
sudo cat /etc/logstash/logstash-sample.conf

Beats configuration
16 Mise en place d’une solution SOC open source

C'est quoi Sysmon

Il s'agit d'un service système et d'un pilote de périphérique Windows qui, une fois installé sur un
système, reste résident après les redémarrages pour surveiller et consigner l'activité système dans
le journal des événements de Windows. Il fournit des informations détaillées sur la création de
processus, les connexions réseau et les modifications de l'heure de création des fichiers. En
collectant les événements qu'il génère à l'aide de la Collecte d'événements Windows ou d'agents
SIEM, et en les analysant par la suite, vous pouvez identifier des activités malveillantes ou
anormales, et comprendre comment les intrus et les logiciels malveillants opèrent sur votre
réseau.

Après les configurations nécessaires, on accède à notre observateur ELK.

Figure 7: Serveur ELK

17 Mise en place d’une solution SOC open source

Analyse de LOG:

Figure 8: Analyse de LOG sous Windows

4.3 Installation et configuration de The Hive , Cortex et

MISP avec Docker

On procède à l'installation de MISP, TheHive, et Cortex à l'aide de Docker, dans le cadre de notre
projet , en mettant en place un environnement propice à la gestion des informations sur les
menaces, la corrélation des incidents, et l'analyse automatisée, afin de faciliter la production d'un
rapport de stage.
Cortex: Cortex est une plateforme open source conçue pour l'analyse automatisée de
cybermenaces. Il offre une extensibilité importante grâce à un écosystème de modules,
permettant d'intégrer divers outils et services pour enrichir les données de sécurité. Cortex est
souvent utilisé en conjonction avec MISP et TheHive pour renforcer la capacité d'analyse et de
réponse aux incidents.
MISP (Malware Information Sharing Platform & Threat Sharing) : MISP est une plateforme de
partage d'informations sur les menaces et de gestion des incidents de sécurité. Elle facilite la
collecte, la normalisation, le partage et l'exploitation collaborative des informations liées aux
18 Mise en place d’une solution SOC open source

menaces entre les organisations. MISP permet de créer des événements, d'y ajouter des attributs,
et de partager ces données avec d'autres instances MISP.
TheHive : TheHive est une plateforme de gestion et de réponse aux incidents de sécurité. Elle
offre une interface centralisée pour traiter et suivre les incidents, intégrant des fonctionnalités de
corrélation et d'analyse des alertes. TheHive permet aux équipes de sécurité de collaborer
efficacement, d'automatiser certaines tâches et de suivre le cycle de vie complet des incidents.
Docker: Docker est une plateforme de conteneurisation qui simplifie le déploiement et la gestion
d'applications. Il permet d'emballer une application et ses dépendances dans un conteneur,
assurant une exécution cohérente et isolée sur n'importe quel environnement compatible avec
Docker. L'utilisation de Docker facilite le déploiement et la mise à l'échelle de Cortex, MISP et
TheHive, garantissant une gestion efficace des ressources et une flexibilité accrue.

4.3.1 Instalation des composants :

Figure 9: Installtion des Composants

19 Mise en place d’une solution SOC open source

4.3.2 Configuration CORTEX

Suite à la mise en place des paramétrages requis,On accède au navigateur et on saisit l'adresse
http://192.168.159.139:9001

Figure 10: Interface Cortex

20 Mise en place d’une solution SOC open source

4.3.3 Configuration MISP

Une fois les ajustements adéquats effectués, On accède au navigateur et on saisit l'adresse
http://192.168.159.139/organisation/index

Figure 11: Interface MISP

21 Mise en place d’une solution SOC open source

4.3.4 Configuration THE HIVE

À la suite des configurations indispensables, On accède au navigateur et on saisit l'adresse
http://192.168.159.139:9000

Figure 12: Configuration THE HIVE

22 Mise en place d’une solution SOC open source

Conclusion Générale

Le projet "SOC as a Service" représente une initiative stratégique dans le domaine de la

cybersécurité, déployant une solution complète et intégrée basée sur ELK Stack, TheHive, MISP
et Cortex, orchestrée avec Docker. Cette approche novatrice vise à fournir aux organisations une
réponse aux incidents de sécurité robuste, collaborative et évolutive.
L'intégration d'ELK Stack offre une base solide pour la gestion et l'analyse des logs, tandis que
TheHive simplifie la gestion des incidents avec une interface conviviale. MISP, en tant que
plateforme de partage d'informations sur les menaces, et Cortex, avec ses capacités d'analyse
automatisée, renforcent la posture de sécurité globale.
L'utilisation de Docker pour le déploiement offre une flexibilité et une gestion simplifiée,
permettant une adaptation rapide aux besoins changeants du paysage de la cybersécurité.
En conclusion, le projet "SOC as a Service" représente une réponse proactive et complète aux
défis croissants de la sécurité informatique. Il offre une plateforme agile, collaborative et
technologiquement avancée pour anticiper, détecter et répondre aux menaces de manière
efficace.