La plupart des PME pensent qu’un SOC est hors de leur portee. Une surveillance de base couvrant les vecteurs d’attaque les plus courants est accessible avec des outils open-source.
Les 5 sources de donnees prioritaires
- Logs d’authentification : detection des brute-force
- Logs firewall : detection des scans
- Logs DNS : detection des communications malveillantes
- Logs d’applications critiques : acces aux donnees sensibles
- Metriques systeme : comportements anormaux
Stack open-source recommandee
Wazuh (SIEM + EDR open-source)
- Agents sur tous les serveurs
- Analyse des logs
- Detection d'intrusion
+ ELK Stack
- Centralisation et visualisation
+ TheHive
- Gestion des incidentsDeployer Wazuh rapidement
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
bash wazuh-install.sh -a
# Agent sur un serveur Linux
WAZUH_MANAGER='IP_DU_MANAGER' dpkg -i wazuh-agent_4.7.0_amd64.deb
systemctl enable --now wazuh-agentPlaybook minimal pour un brute-force
Trigger : > 20 tentatives SSH en 5 minutes
Actions immediates :
1. Bloquer l'IP : iptables -I INPUT -s [IP] -j DROP
2. Verifier si une connexion a reussi
3. Si oui : escalader en incident P1Notre formation Cybersecurite couvre la mise en place d’une surveillance de securite.