MODE : FORMATION_ACTIVE
Investigation SOC — Wazuh / MITRE ATT&CK
arrow_back Projets
Cyber / Blue Team Terminé

Investigation SOC — Wazuh / MITRE ATT&CK

Simulation d'attaque brute-force SSH sur une infrastructure critique fictive. Détection via Wazuh, qualification via MITRE ATT&CK, rapport d'incident double niveau.

WazuhMITRE ATT&CKRaspberry PiLinux

01 | Le contexte

Face aux exigences de réactivité attendues au sein d'un Security Operations Center (SOC), j'ai voulu consolider mon approche méthodique en simulant une attaque réelle sur une infrastructure critique fictive de type Opérateur d'Importance Vitale. L'objectif principal n'était pas seulement de configurer des outils de détection, mais d'adopter la véritable posture d'un Analyste Cybersécurité capable de qualifier un incident, de l'isoler, et surtout de le communiquer de manière transparente à des décideurs techniques et métiers. Ce projet s'inscrit directement dans ma préparation opérationnelle pour intégrer une Blue Team en alternance, en prouvant ma capacité à gérer la pression d'une compromission.

02 | Le projet

Pour relever ce défi, j'ai déployé un environnement de simulation contrôlé sur un Raspberry Pi, sur lequel j'ai orchestré une attaque par force brute ciblant le service SSH. J'ai ensuite exploité le SIEM Wazuh pour centraliser et scruter les logs d'authentification générés lors de l'intrusion. Plutôt que de me limiter à la simple lecture technique des alertes, j'ai qualifié l'incident en cartographiant les tactiques de l'attaquant via le standard de l'industrie, le framework MITRE ATT&CK. Cette démarche m'a permis de relier des données systèmes brutes à des comportements malveillants identifiés. Pour finaliser la réponse, j'ai synthétisé ces découvertes sous la forme d'un rapport d'incident professionnel à double niveau de lecture, incluant une synthèse exécutive pour le management et une analyse technique pour les équipes de remédiation.

03 | Les apprentissages

Sur le plan technique, cette investigation m'a appris à filtrer le bruit ambiant pour repérer le signal critique au sein d'un SIEM industriel comme Wazuh, tout en appliquant concrètement la matrice MITRE ATT&CK. Au-delà de la technique, j'ai considérablement renforcé mes "soft skills" en communication écrite et en vulgarisation. J'ai compris qu'une analyse de sécurité, aussi experte soit-elle, n'a d'impact que si elle est rendue actionnable et compréhensible pour des directeurs non-techniques. Mener cette investigation de la détection jusqu'à la rédaction du rapport final en totale autonomie a également forgé ma rigueur et mon sens de l'organisation face à l'urgence d'une crise cyber.