Flux réseau¶
Parcours d'une requête web¶
Comment un utilisateur accède à Nextcloud depuis Internet :
sequenceDiagram
participant U as Utilisateur
participant CF as Cloudflare
participant FW as fw-gw (nftables)
participant CS as CrowdSec
participant TP as Traefik
participant AK as Authentik
participant NC as Nextcloud
U->>CF: HTTPS cloud.yanicehomeassistant78.org
CF->>FW: Tunnel chiffré (port 80)
FW->>TP: Forward VLAN 30 → VLAN 40
TP->>CS: Vérification IP (bouncer)
CS-->>TP: OK (pas banni)
TP->>AK: Forward-auth (session valide ?)
AK-->>TP: 302 redirect → page login
U->>AK: Login SSO (OIDC)
AK-->>TP: 200 OK + headers user
TP->>NC: Proxy vers backend
NC-->>U: Réponse NextcloudParcours d'un incident SOC¶
Comment une alerte Tetragon devient un ticket d'incident :
sequenceDiagram
participant TT as Tetragon (eBPF)
participant WZ as Wazuh SIEM
participant SH as Shuffle SOAR
participant MP as MISP
participant IR as IRIS
participant VR as Velociraptor
TT->>WZ: Event kernel (process suspect)
WZ->>SH: Webhook (level >= 10)
SH->>SH: Switch sur location
SH->>MP: Check IOC (hash/IP)
MP-->>SH: Résultat lookup
SH->>IR: Créer ticket incident
SH->>VR: Live response (netstat, who, docker top)
VR-->>SH: Résultats forensics
SH->>IR: Update ticket + pièces jointes
Note over SH,IR: Si IOC critique MISP → escalade + notificationParcours d'une alerte Suricata¶
sequenceDiagram
participant SU as Suricata IDS
participant WZ as Wazuh
participant SH as Shuffle SOAR
participant MP as MISP
participant IR as IRIS
participant VR as Velociraptor
SU->>WZ: eve.json (alerte réseau)
WZ->>SH: Webhook
SH->>MP: Check IP source
MP-->>SH: Résultat
SH->>IR: Ticket incident
SH->>VR: netstat sur machine cible
VR-->>SH: Connexions actives
SH->>IR: Update ticketTrois branches, un pipeline
Le pipeline SOAR traite trois types d'événements avec le même workflow : Tetragon (kernel), Suricata (réseau), Syscheck (intégrité fichiers). Chaque branche interroge MISP, crée un ticket IRIS, et déclenche une réponse Velociraptor.