UTMStack Lab — Guide et Procédures de déploiement
UTMStack v11.2.8 Community Edition — Procédures de déploiement pour lab PME Suisse. Installation VMware, Suricata, CrowdSec, SOAR, OPNsense.
🛡️ UTMStack Lab — Guide et Procédures de déploiement
UTMStack v11.2.8 Community Edition
Environnement de lab — Consultant IT indépendant — Suisse 🇨🇭
📖 À propos
Ce site documente le déploiement complet d’un lab UTMStack v11.2.8 Community Edition dans un environnement de lab simulant une infrastructure PME, incluant l’intégration Suricata IDS, CrowdSec, et l’automatisation SOAR pour la réponse automatique aux incidents.
Toutes les procédures sont testées et validées en conditions réelles sur un HP ProDesk 400 G2 Mini sous VMware Workstation, avec OPNsense comme firewall/IDS.
ℹ️ UTMStack est un SIEM — il centralise, corrèle et analyse les événements de sécurité. Un SIEM ne remplace pas un antivirus/EDR (protection des endpoints) ni une solution de conformité et protection des données (type Microsoft Purview). Ces outils sont complémentaires : le SIEM agit au niveau réseau et infrastructure, l’EDR protège les machines de l’intérieur.
🗂️ Procédures
| Guide | Description |
|---|---|
| 01 — Installation & Architecture | Installation VMware, bug DHCP critique, optimisations lab |
| 02 — Intégration Suricata | Pipeline OPNsense → UTMStack port 7019, syslog-ng |
| 03 — Intégration CrowdSec | Décisions CrowdSec → UTMStack, whitelist Azure |
| 04 — Dashboards | Visualisations Suricata & CrowdSec dans UTMStack |
| 05 — SOAR & Automatisation | Réponse automatique aux incidents via playbooks UTMStack ⚠️ v0.1 |
| 06 — SOC AI | Analyse automatique des alertes — Mistral AI, Gemini, création d’incidents |
🔧 Guides disponibles
🔧 Installation & Architecture
→ Installation UTMStack v11 sous VMware Workstation
Configuration VM, procédure d’installation, optimisations post-install, ports importants v11.2.8.
🔍 Intégration Suricata (OPNsense)
→ Pipeline OPNsense → UTMStack
Architecture syslog-ng, parseur natif port 7019, persistance des services OPNsense.
🛡️ Intégration CrowdSec
Forwarding des décisions vers UTMStack, bouncer OPNsense, whitelist Azure, dashboard.
📊 Dashboards UTMStack
→ Création des dashboards Suricata & CrowdSec
Visualisations OpenSearch, index v11-log-suricata-*, champs géolocalisation, threat map.
⚡ SOAR & Automatisation
→ Playbooks automatiques — Réponse aux incidents
Clé SSH SYSTEM, script soar_ban.sh OPNsense, déduplication, compatibilité Microsoft Defender for Endpoint.
📅 Roadmap documentation
| Volume | Contenu | Statut |
|---|---|---|
| V1 | Installation & Architecture | 🟢 Publié |
| V2 | Configuration SIEM — Agents, sources de logs, règles | 📋 Planifié |
| V3 | Modules complémentaires — SOC AI, OPNsense stack | 🟡 En cours |
| V4 | SOAR & Incident Response — Tests Red Team Kali | 🟡 En cours |
| V5 | Red Team / Validation Kali | 📋 Planifié |
🖥️ Environnement de lab
| Composant | Détail |
|---|---|
| SIEM | UTMStack v11.2.8 Community Edition |
| Hôte | HP ProDesk 400 G2 Mini — i7-6700 — 32 GB RAM |
| Hyperviseur | VMware Workstation |
| Firewall / IDS | OPNsense 26.1 + Suricata 7.x |
| OS SIEM | Ubuntu 24.04 LTS |
| Agents | Windows Server 2022 — gest-srv (10.100.1.16), DC01 (10.100.1.1) |
🔩 Stack technique
- IDS : Suricata 7.x sur OPNsense — règles Emerging Threats Open
- HIDS : CrowdSec + bouncer OPNsense — blocage temps réel
- SOAR : UTMStack Incident Response + SSH → CrowdSec
- Logs : syslog-ng → Agent UTMStack → OpenSearch
- SOC AI : Mistral AI — analyse d’alertes assistée
📎 Documents annexes
| Document | Description |
|---|---|
| Checklist Migration OPNsense 26.1 | Points de vigilance post-migration OPNsense 25.7 → 26.1 |
☕ Soutenir le projet
Ces guides représentent des dizaines d’heures de tests en environnements réels.
ℹ️ Références et aide à la rédaction assistées par IA, avec validation humaine finale.