UTMStack Lab — Guide et Procédures de déploiement

UTMStack v11.2.8 Community Edition — Procédures de déploiement pour lab PME Suisse. Installation VMware, Suricata, CrowdSec, SOAR, OPNsense.

View the Project on GitHub doit4everyone/utmstack-lab

UTMStack Lab — Guide et Procédures de déploiement

UTMStack v11.2.11 Community Edition — Procédures de déploiement pour lab PME Suisse. Installation VMware, Suricata, CrowdSec, SOAR, OPNsense.

GitHub Pages License: MIT


📖 À propos

Ce site documente le déploiement complet d’un lab UTMStack v11.2.11 Community Edition dans un environnement simulant une infrastructure PME, incluant l’intégration Suricata IDS, CrowdSec, l’automatisation SOAR pour la réponse automatique aux incidents, et l’audit NTLM en préparation de la migration vers Kerberos (roadmap Microsoft 2025-2027).

Toutes les procédures sont testées et validées en conditions réelles sous VMware Workstation, avec OPNsense comme firewall/IDS.

ℹ️ UTMStack est un SIEM — il centralise, corrèle et analyse les événements de sécurité. Un SIEM ne remplace pas un antivirus/EDR (protection des endpoints) ni une solution de conformité et protection des données (type Microsoft Purview). Ces outils sont complémentaires : le SIEM agit au niveau réseau et infrastructure, l’EDR protège les machines de l’intérieur.


🗂️ Procédures

Guide Description
01 — Installation & Architecture Installation VMware, bug DHCP critique, optimisations lab
02 — Intégration Suricata Pipeline OPNsense → UTMStack port 7019, syslog-ng
03 — Intégration CrowdSec Décisions CrowdSec → UTMStack, whitelist Azure/Cloudflare + réseaux internes
04 — Dashboards Visualisations Suricata & CrowdSec dans UTMStack
05 — SOAR & Automatisation Réponse automatique aux incidents via playbooks UTMStack ⚠️ v0.1
06 — SOC AI Analyse automatique des alertes — architecture backend, limites du prompt natif
07 — Règles Suricata avancées suricata-update, NF Rules networkforensic.dk, IPS drop mode, CINS, 🆕 règle custom DVR/IoT (r00ts3c) avec persistance double (boot + cron nocturne)
08 — Audit NTLM & Migration Kerberos WEF, GPO, Intune, dashboard SIEM, roadmap Phase 1→3 — Server 2025

🔧 Guides disponibles

🔧 Installation & Architecture

→ Installation UTMStack v11 sous VMware Workstation

Configuration VM, procédure d’installation, optimisations post-install, ports importants v11.2.x.

🔍 Intégration Suricata (OPNsense)

→ Pipeline OPNsense → UTMStack

Architecture syslog-ng, parseur natif port 7019, persistance des services OPNsense.

🛡️ Intégration CrowdSec

→ CrowdSec → UTMStack

Forwarding des décisions vers UTMStack, bouncer OPNsense, whitelist Azure/Cloudflare étendue aux réseaux internes du lab, dashboard.

📊 Dashboards UTMStack

→ Création des dashboards Suricata & CrowdSec

Visualisations OpenSearch, index v11-log-suricata-*, champs géolocalisation, threat map.

⚡ SOAR & Automatisation

→ Playbooks automatiques — Réponse aux incidents

Clé SSH SYSTEM, script soar_ban.sh OPNsense, déduplication, compatibilité Microsoft Defender for Endpoint.

📋 Règles Suricata avancées

→ suricata-update & NF Rules networkforensic.dk

suricata-update (ptrules, stamus/lateral, tgreen/hunting), règles NF Scanners en drop IPS, CINS Active Threat Intelligence, règle custom bloquant une exploitation DVR/IoT active (signature r00ts3c-owned-you), découverte et correction de la réinitialisation nocturne native d’OPNsense sur les règles custom.

🔐 Audit NTLM & Migration Kerberos

→ Phase 1 complète : audit, WEF, scripts, dashboard

Déploiement de l’audit NTLM via Windows Event Forwarding (WEF) en self-subscription locale. Scripts prêts à l’emploi pour GPO et Intune, corrections terrain Server 2025, cas d’étude réplication AD inter-sites utilisant NTLM par design. Scripts sur GitHub.


📅 Roadmap documentation

Volume Contenu Statut
V1 Installation & Architecture 🟢 Publié
V2 Configuration SIEM — Agents, sources de logs, règles, intégrations Azure/M365 📋 Planifié
V3 Modules complémentaires — SOC AI, OPNsense stack 🟡 En cours
V4 SOAR & Incident Response — Tests Red Team Kali 🟡 En cours
V5 Red Team / Validation Kali 📋 Planifié

🖥️ Environnement de lab

Composant Détail
SIEM UTMStack v11.2.11 Community Edition
Hôte Serveur HPE G9 — 64 GB RAM
Hyperviseur VMware Workstation
Firewall / IDS OPNsense 26.1.11 + Suricata 8.0.5
OS SIEM Ubuntu 24.04 LTS
Active Directory Windows Server 2025 — Topologie multi-sites (2 DC, 2 sites AD)
Agents DC01-MAIN-SITE (10.100.1.1), DC01-RM (10.100.2.1), gest-srv (10.100.1.16), MDM-BLAISE-871 (Win 11 24H2)

🔩 Stack technique


📎 Documents annexes

Document Description
Checklist Migration OPNsense 26.1 Points de vigilance post-migration OPNsense 25.7 → 26.1
Réduction du bruit — Règles de corrélation UTMStack Alert fatigue, diagnostic OpenSearch/PostgreSQL, 7 fixes de règles de corrélation, dérive d’ID entre versions, automatisation double (boot + cron horaire), checklist post-update
Scripts WEF NTLM (GitHub) Deploy-WEF-NTLM-GPO.ps1, Intune, Detect, ntlm-subscription.xml

☕ Soutenir le projet

Ces guides représentent des dizaines d’heures de tests en environnements réels.

ko-fi


ℹ️ Références et aide à la rédaction assistées par IA, avec validation humaine finale.

This project is maintained by doit4everyone