Post

Mise en place d'un Homelab cybersécurité orienté Purple Team

Posté
Par Marvin NM
1 min lire
Mise en place d'un Homelab cybersécurité orienté Purple Team

Objectif

Dans le cadre de ma montée en compétence en cybersécurité, j’ai conçu et déployé un homelab permettant de simuler un environnement d’entreprise réaliste.

Ce laboratoire repose sur un domaine Active Directory nommé cador.inc, servant de base à différents scénarios de sécurité.

L’objectif principal de cet environnement est double :

  • Approfondir mes compétences en Blue Team
    (détection, corrélation et analyse d’incidents via SIEM)
  • Disposer d’un environnement contrôlé pour mettre en pratique des techniques Red Team
    (attaque, post-exploitation, élévation de privilèges, etc.)

Ce lab me permet ainsi d’adopter une approche ** Purple Team**, en combinant :

  • la compréhension des vecteurs d’attaque
  • et la mise en place de mécanismes de détection efficaces

Architecture

Diagramme réseau

L’infrastructure est segmentée en plusieurs sous-réseaux afin d’assurer :

  • l’isolation des flux
  • une meilleure lisibilité des scénarios
  • et un cloisonnement réaliste proche d’un SI d’entreprise

Sous-réseau Sécurité - (10.0.1.0/24)

Rôle : Supervision et détection

  • Wazuh (SIEM / XDR)
    • Collecte et corrélation des logs
    • Détection d’anomalies et d’attaques
    • Mise en place de règles personnalisées
    • Centralisation des événements sécurité

Sous-réseau Postes - (10.0.10.0/24)

Rôle : Environnement cible (infrastructure interne)

  • Windows Server 2019
    • Contrôleur de domaine (cador.inc)
    • Services Active Directory
  • Poste Windows 10
    • Machine utilisateur intégrée au domaine

Cette partie est fortement inspirée du projet Game of Active Directory Light, permettant de reproduire :

  • des mauvaises configurations réalistes
  • des chemins d’attaque AD
  • des scénarios d’escalade de privilèges

Sous-réseau Postes Internet/Attaquant - (172.16.10.0/24)

Rôle : Simulation d’attaques

  • Kali Linux
    • Reconnaissance (Nmap, enum4linux…)
    • Exploitation (Metasploit, exploits custom)
    • Attaques Active Directory (BloodHound, Kerberoasting…)

Sous-réseau Isolation - (10.0.99.0/24)

Rôle : Analyse avancée / sandbox

  • FlareVM
    • Reverse engineering
    • Analyse de malware
    • Debugging

Ce réseau est isolé afin d’éviter toute propagation accidentelle de code malveillant.

Évolutions futures

Ce homelab a vocation à évoluer vers un environnement encore plus complet :

Reverse Engineering & Malware Analysis

  • Extension de FlareVM
  • Ajout de REMnux pour l’analyse réseau et malware Linux

Forensics & Incident Response

  • Intégration de Tsurugi Linux
    • Analyse post-mortem
    • Investigation numérique
    • réponse à incident

SIEM & Data Simulation

  • Déploiement d’une instance Splunk
    • Simulation de logs réalistes via dataset botsV3
    • Enrichissement des scénarios SOC
    • Comparaison avec Wazuh
Cybersecurity, Homelab, Blue Team, Red Team
SIEM Wazuh SOC Detection Active Directory
Cet article est sous licence CC BY 4.0 par l'auteur.