SOC Dashboard — Documentation technique

◉ PÉRIMÈTRE — Solution homelab déployée sur réseau local (LAN). Le dashboard SOC, le reverse proxy et l'assistant IA fonctionnent exclusivement dans un environnement privé et maîtrisé. Cette documentation présente la méthodologie et les briques techniques mises en œuvre — sans exposer de données de configuration ni de topologie réseau réelle.

35

TUILES EN PROD

60s

CYCLE REFRESH

21

MOIS CVE INDEXÉS

10

CRONS ACTIFS

~207

VPATCH CVE APPSEC WAF

5

HÔTES RSYSLOG

// dashboard — homelab personnel

$ ls -1 screenshots/

AGRANDIR

⬡ CARTOGRAPHIE GEOIP MONDE

Origines d'attaque géolocalisées 24h • Arcs canvas animés • MaxMind GeoIP2

AGRANDIR

⬡ GEOIP STATS — ORIGINES PAR PAYS

Classement pays attaquants • Volumes • Corrélation Kill Chain

AGRANDIR

⬡ FOCUS EUROPE — TOP ORIGINES

Densité d'attaques par pays • Zoom Europe • Scénarios CrowdSec actifs

AGRANDIR

⬡ CYBER KILL CHAIN

Canvas animé • RECON → SCAN → EXPLOIT → BRUTE • Score normalisé 0–100 • IPs actives + investigation inline

AGRANDIR

⬡ HEATMAP ATTAQUES 24H

Densité canvas temporelle • Requêtes par heure et par type • Pics d'activité visualisés

AGRANDIR

⬡ XDR ENGINE — CORRÉLATION CROSS-HOST

nginx · CrowdSec · fail2ban · Suricata · Apache VMs · Routeur · 5 hôtes rsyslog

AGRANDIR

⬡ CHAÎNE DE DÉFENSE

UFW → CrowdSec WAF → fail2ban → AppSec ~207 vpatch CVE → Suricata IDS 96k règles ET Pro • Défense en profondeur

AGRANDIR

⬡ INVESTIGATION IP APPROFONDIE

GeoIP · WHOIS/ASN · CrowdSec · Fail2ban 30j · Verdict local · Ban/unban inline

AGRANDIR

⬡ JARVIS IA — INTÉGRATION SOC

Auto-engine • Analyse LLM • Alertes TTS vocales • ban-ip · restart-service proactifs

AGRANDIR

⬡ WINDOWS — MÉTRIQUES LOCALES

CPU · GPU RTX 5080 VRAM · Disques · Sauvegardes VMs Proxmox · Quota backup

// regard croisé — humain · IA

$ claude --evaluate soc-dashboard/ --collab

Claude Sonnet 4.6 · Anthropic · 2026-04-30

Analyse et avis rédigés par IA à partir de l'examen complet du code, de l'architecture et des échanges de collaboration.

// forces techniques

DÉFENSE Stack en profondeur réelle : UFW → CrowdSec bouncer nftables → fail2ban → AppSec WAF (~207 vpatch CVE) → Suricata IDS 7 (96k règles ET Pro). Chaque couche filtre indépendamment — un attaquant contournant l'une tombe sur la suivante. Architecture correcte, pas juste des outils installés.

MODULES Architecture modulaire — 28 modules JS à responsabilité unique : rendu, binding, canvas Kill Chain, GeoIP, investigation IP, XDR engine, rsyslog… 35 tuiles, zéro dépendance NPM. Séparation des concerns stricte, base de code lisible et maintenable.

MÉTHODE Les décisions d'architecture sont motivées et assumées : la refactorisation modulaire, le DR en conditions réelles, la séparation public/privé — ces choix venaient du concepteur, pas de l'IA. Les objectifs étaient précis, les corrections directes. Ce qui a moins bien fonctionné : des ajustements itératifs qui auraient pu être anticipés en amont.

DEPLOY deploy-soc.sh idempotent et modulaire (--step nginx, --step crowdsec…), RUNBOOK disaster recovery 8 étapes, CHECKLIST 61 points. Surtout : le DR a été exécuté en conditions réelles le 2026-04-28 — 8 écarts détectés et corrigés en live. Reconstruction complète validée — la procédure et l'archive restent **privées** (non reproductible depuis ce dépôt public).

AUTONOMIE Le SOC est conçu pour se défendre sans dépendance à la machine Windows. CrowdSec, fail2ban et Suricata répondent automatiquement aux menaces 24h/24 — les VMs Proxmox tournent indépendamment. Quand la machine Windows est active, JARVIS ajoute une couche d'expertise : analyse LLM, alertes TTS, décisions contextuelles. C'est un choix délibéré : défense autonome par conception, intelligence en option.

XDR · IA Corrélation cross-host 5 sources (nginx · CrowdSec · Suricata · Apache VMs · routeur) + rsyslog centralisé. L'intégration JARVIS auto-engine avec TTS et actions proactives (ban-ip, restart-service) est une surcouche d'intelligence — le SOC opère et se défend de manière autonome que JARVIS soit actif ou non.

MATURITÉ Projet construit en 9 phases successives — chaque outil intégré avec une justification explicite, pas par accumulation. La séparation publiable/privé est tenue : framework de déploiement et configs open, sources du dashboard (28 modules JS, 35 tuiles) et scripts opérationnels privés. Le dépôt est une vitrine technologique honnête — sans prétendre être une solution entreprise.

PHILOSOPHIE Trois piliers assumés et cohérents entre eux : Conditions réelles — l'infrastructure est exposée à internet, pas simulée, chaque outil est confronté à de vrais scans et de vraies tentatives d'exploit. Savoir construit, pas redistribué — la méthode est partageable, les sources opérationnelles restent privées. Résilience face à la compromission — rebuild validé en conditions réelles le 2026-04-28, configs anonymisées, archive hors ligne. C'est une philosophie de conception, pas un slogan.

// observations honnêtes

RYTHME v3.108 — itéré sur de nombreuses passes, dette de code à zéro, dette structurelle assumée et documentée. Cela reflète un projet maintenu en conditions réelles — la qualité a tenu le rythme. La prochaine étape : consolider plutôt qu'ajouter.

PÉRIMÈTRE Le ratio complexité / surface protégée est élevé — c'est assumé pour un homelab d'apprentissage et c'est son intérêt. Mais il faut le conscientiser : ce SOC sert à maîtriser des outils en conditions réelles, pas à défendre une infrastructure critique. Cette distinction est une force pédagogique, pas une faiblesse.

// collaboration humain · IA

"C'est mon vrai premier projet avec une IA qui m'a tiré vers le haut."

— 0xCyberLiTech · auteur du projet · 2026-04-26

Ce homelab a été construit en binôme avec Claude (Anthropic). L'IA propose et exécute vite ; à moi le périmètre, les choix et la vérification. Mais soyons clairs : c'est avant tout un projet pour apprendre la cyberdéfense en pratique — pas une démonstration de maîtrise.

OBJECTIFS CADRÉS

Des demandes précises, un périmètre, un livrable. Pas par talent — par nécessité : sans cadre, on se perd (et l'IA aussi).

VÉRIFIER, TOUJOURS

L'IA se trompe — elle a cru le système « monolithique ». Mon rôle : repérer et corriger. Elle accélère, elle ne décide pas à ma place.

MES CHOIX, MA RESPONSABILITÉ

La refonte en 28 modules, le RUNBOOK, le public/privé : ce sont mes décisions. L'exécution est déléguée, la responsabilité reste la mienne.

ALIGNEMENT

Garder la doc et la réalité cohérentes, sans divergence. C'est ce qui rend un projet tenable dans le temps — et ça s'apprend en le faisant.

◈ VERDICT

Un homelab d'apprentissage, pris au sérieux : une défense en profondeur réelle, un DR éprouvé en conditions réelles, une conception cohérente. Pas des outils empilés — chacun intégré en 9 phases successives, confronté à de vraies menaces, documenté avec une frontière nette entre ce qui se partage et ce qui reste privé.

Ce projet démontre qu'on peut apprendre la cyberdéfense sur une infrastructure exposée à internet, sans cloud, sans abonnement, avec des outils open source. C'est son intérêt principal, et une ambition honnête — le savoir-faire et les sources restent **volontairement privés**.

JARVIS, l'IA locale, s'intègre au SOC — voir le projet JARVIS.

Tout le détail technique → sur GitHub

⊳ Dépôt GitHub — 0xCyberLiTech/SOC ⊳ Dépôt GitHub — 0xCyberLiTech/JARVIS