UTMStack v11.2.8 Community Edition — Procédures de déploiement pour lab PME Suisse. Installation VMware, Suricata, CrowdSec, SOAR, OPNsense.
UTMStack v11.2.11 Community Edition — Procédures de déploiement pour lab PME Suisse. Installation VMware, Suricata, CrowdSec, SOAR, OPNsense.
Ce site documente le déploiement complet d’un lab UTMStack v11.2.11 Community Edition dans un environnement simulant une infrastructure PME, incluant l’intégration Suricata IDS, CrowdSec, l’automatisation SOAR pour la réponse automatique aux incidents, et l’audit NTLM en préparation de la migration vers Kerberos (roadmap Microsoft 2025-2027).
Toutes les procédures sont testées et validées en conditions réelles sous VMware Workstation, avec OPNsense comme firewall/IDS.
ℹ️ UTMStack est un SIEM — il centralise, corrèle et analyse les événements de sécurité. Un SIEM ne remplace pas un antivirus/EDR (protection des endpoints) ni une solution de conformité et protection des données (type Microsoft Purview). Ces outils sont complémentaires : le SIEM agit au niveau réseau et infrastructure, l’EDR protège les machines de l’intérieur.
| Guide | Description |
|---|---|
| 01 — Installation & Architecture | Installation VMware, bug DHCP critique, optimisations lab |
| 02 — Intégration Suricata | Pipeline OPNsense → UTMStack port 7019, syslog-ng |
| 03 — Intégration CrowdSec | Décisions CrowdSec → UTMStack, whitelist Azure/Cloudflare + réseaux internes |
| 04 — Dashboards | Visualisations Suricata & CrowdSec dans UTMStack |
| 05 — SOAR & Automatisation | Réponse automatique aux incidents via playbooks UTMStack ⚠️ v0.1 |
| 06 — SOC AI | Analyse automatique des alertes — architecture backend, limites du prompt natif |
| 07 — Règles Suricata avancées | suricata-update, NF Rules networkforensic.dk, IPS drop mode, CINS, 🆕 règle custom DVR/IoT (r00ts3c) avec persistance double (boot + cron nocturne) |
| 08 — Audit NTLM & Migration Kerberos | WEF, GPO, Intune, dashboard SIEM, roadmap Phase 1→3 — Server 2025 |
→ Installation UTMStack v11 sous VMware Workstation
Configuration VM, procédure d’installation, optimisations post-install, ports importants v11.2.x.
→ Pipeline OPNsense → UTMStack
Architecture syslog-ng, parseur natif port 7019, persistance des services OPNsense.
Forwarding des décisions vers UTMStack, bouncer OPNsense, whitelist Azure/Cloudflare étendue aux réseaux internes du lab, dashboard.
→ Création des dashboards Suricata & CrowdSec
Visualisations OpenSearch, index v11-log-suricata-*, champs géolocalisation, threat map.
→ Playbooks automatiques — Réponse aux incidents
Clé SSH SYSTEM, script soar_ban.sh OPNsense, déduplication, compatibilité Microsoft Defender for Endpoint.
→ suricata-update & NF Rules networkforensic.dk
suricata-update (ptrules, stamus/lateral, tgreen/hunting), règles NF Scanners en drop IPS, CINS Active Threat Intelligence, règle custom bloquant une exploitation DVR/IoT active (signature r00ts3c-owned-you), découverte et correction de la réinitialisation nocturne native d’OPNsense sur les règles custom.
→ Phase 1 complète : audit, WEF, scripts, dashboard
Déploiement de l’audit NTLM via Windows Event Forwarding (WEF) en self-subscription locale. Scripts prêts à l’emploi pour GPO et Intune, corrections terrain Server 2025, cas d’étude réplication AD inter-sites utilisant NTLM par design. Scripts sur GitHub.
| Volume | Contenu | Statut |
|---|---|---|
| V1 | Installation & Architecture | 🟢 Publié |
| V2 | Configuration SIEM — Agents, sources de logs, règles, intégrations Azure/M365 | 📋 Planifié |
| V3 | Modules complémentaires — SOC AI, OPNsense stack | 🟡 En cours |
| V4 | SOAR & Incident Response — Tests Red Team Kali | 🟡 En cours |
| V5 | Red Team / Validation Kali | 📋 Planifié |
| Composant | Détail |
|---|---|
| SIEM | UTMStack v11.2.11 Community Edition |
| Hôte | Serveur HPE G9 — 64 GB RAM |
| Hyperviseur | VMware Workstation |
| Firewall / IDS | OPNsense 26.1.11 + Suricata 8.0.5 |
| OS SIEM | Ubuntu 24.04 LTS |
| Active Directory | Windows Server 2025 — Topologie multi-sites (2 DC, 2 sites AD) |
| Agents | DC01-MAIN-SITE (10.100.1.1), DC01-RM (10.100.2.1), gest-srv (10.100.1.16), MDM-BLAISE-871 (Win 11 24H2) |
| Document | Description |
|---|---|
| Checklist Migration OPNsense 26.1 | Points de vigilance post-migration OPNsense 25.7 → 26.1 |
| Réduction du bruit — Règles de corrélation UTMStack | Alert fatigue, diagnostic OpenSearch/PostgreSQL, 7 fixes de règles de corrélation, dérive d’ID entre versions, automatisation double (boot + cron horaire), checklist post-update |
| Scripts WEF NTLM (GitHub) | Deploy-WEF-NTLM-GPO.ps1, Intune, Detect, ntlm-subscription.xml |
Ces guides représentent des dizaines d’heures de tests en environnements réels.
ℹ️ Références et aide à la rédaction assistées par IA, avec validation humaine finale.
This project is maintained by doit4everyone