Morpheus
Sécurité / Exploitation quotidienne

SecOps Quickstart Ops

Fiche opérateur publique pour lire Waybar SecOps, interpréter les niveaux, lancer les diagnostics et cadrer une réponse à incident sans exposer les chemins privés.

runbook Waybar auditd FIM réponse à incident
Flux public d'exploitation SecOps
Vue opérateur expurgée: statut Waybar, journal, rapport, remédiation et diagnostic minimal.
01

Observer

Lire la pilule SecOps et distinguer état nominal, maintenance, alerte et incident.

02

Qualifier

Interpréter T, le compteur de maintenance du tooltip et les niveaux sans confondre maintenance et menace active.

03

Agir

Utiliser journal, rapport et résolution guidée plutôt qu'une commande large ou destructrice.

04

Clore

Nettoyer les tests, relancer les checks utiles et revenir à un état lisible.

Contexte

Le problème réel.

Une stack SecOps complète peut devenir difficile à exploiter si l'opérateur ne sait pas quoi lire en premier. Le quickstart transforme les signaux Audit/FIM/Secure Boot/Waybar en routine simple et actionnable.

Objectifs

Ce que la solution devait garantir.

  • Donner une routine quotidienne courte pour l'opérateur.
  • Expliquer que la maintenance attendue reste visible dans l'infobulle sans encombrer la pilule OK T0.
  • Séparer diagnostic, remédiation et nettoyage post-test.
  • Garder les commandes privées sous forme de placeholders non exploitables.
Architecture publique

Structure documentée, détails exploitables retirés.

Exemples anonymisés

Ce qui peut être montré sans exposer le système réel.

Lecture quotidienne

Le quickstart explique quoi faire selon l'état visible dans Waybar, sans ouvrir directement les fichiers privés.

texte widget     classe     action
OK T0           info       aucune action
WARN T1         alerte     ouvrir le journal guidé
CRIT Tn         critique   lancer le chemin incident rapide

Niveaux publics

La page clarifie la différence entre bruit attendu, persistance utilisateur et incident.

information activité attendue, maintenance, signal faible
moyen       événement unique de persistance utilisateur
élevé       signal fort ou persistance utilisateur corrélée
critique    chemin incident: auth, sudo, boot ou combo persistance

maintenance attendue = compteur dans le tooltip
maintenance != sévérité moyenne

Actions bornées

Les actions Waybar sont décrites comme opérations limitées, pas comme panneau d'administration complet.

clic gauche     journal recommandé
clic milieu     rapport recommandé
clic droit      menu d'actions sûres

masqué du menu:
  déploiement complet
  rebaseline système
  nettoyage large
Runbook public

Commandes et états attendus issus de la documentation privée.

Les commandes ci-dessous sont volontairement anonymisées: chemins, noms de machines, interfaces, dépôts, périphériques et actions destructrices sont remplacés par des placeholders.

Documentation privée: SecOps Quickstart

Check quotidien

Commandes anonymisées

<secops-status-script>
tail -n 30 <operator-state>/audit-security.log
tail -n 30 <integrity-state>/package-integrity.log
tail -n 30 <fim-state>/repo-fim.log
cat <secureboot-status-cache>

État attendu

OK T0 est nominal
WARN, CRIT ou T>0 demande une revue
la maintenance attendue est comptée dans l'infobulle
l'infobulle État de santé OK confirme l'état nominal
Documentation privée: SecOps Quickstart

Diagnostic minimal

Commandes anonymisées

systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
cat <correlator-last-event-id>
cat <correlator-spool-cursor>
stat <audit-collector-raw-events>
tail -n 50 <operator-state>/audit-events.log
tail -n 50 <operator-state>/audit-security.log

État attendu

le service corrélateur est démarré
le heartbeat du collecteur est récent
le curseur du spool avance
les événements apparaissent dans les logs Morpheus
si ausearch contient des événements mais pas Morpheus, inspecter d'abord le collecteur et le spool
Documentation privée: SecOps Quickstart

Incident rapide

Commandes anonymisées

<secops-status-script>
tail -n 30 <operator-state>/audit-events.log
<secops-report-script> 24
<incident-lockdown-script>

État attendu

lire d'abord audit-events
puis utiliser le rapport 24h
le rapport d'intégrité montre les écarts critique / eleve / moyen
le bundle incident est horodaté
critique reste visible pendant la maintenance
Documentation privée: SecOps Quickstart

Résolution guidée et nettoyage post-tests

Commandes anonymisées

systemctl reset-failed <integrity-services>
<repo-fim-script> init <repo-target>
<system-fim-script> init <system-targets>
<secops-selftest-script>

État attendu

les unités de test en échec sont réinitialisées
les diffs sont affichés avant toute rebaseline
chaque baseline est rafraîchie seulement après confirmation explicite
le reset est proposé uniquement lorsque les contrôles sont sains
le self-test valide moyen / eleve / critique puis revient en arrière
la page publique garde les commandes anonymisées
Travail réalisé

Décisions techniques publiables.

Check quotidien

La première décision vient du widget: ne rien faire en OK T0, investiguer si WARN/CRIT/T>0.

Remédiation

L'assistant séquence contrôles, revue des diffs, confirmations, recontrôle et reset.

Incident

Le runbook rapide privilégie les événements d'audit, puis le rapport sur 24 heures et l'état d'intégrité.

Validation

Preuves et contrôles retenus.

Preuves visuelles

Contrôles observables et portée de la preuve.

Résultats publics

Ce que le chantier démontre.

Anonymisation

Ce qui reste privé.

  • Chemins utilisateur et runtime remplacés par placeholders.
  • Commandes système sensibles reformulées en actions contrôlées.
  • Pas de scripts privés, logs bruts ou targets FIM complets.
  • Nettoyage post-tests publié comme principe, pas comme recette destructrice.
Sources privées

Documentation d'origine.

  • SecOps Quickstart privé.
  • Auditd & SecOps.
  • SecOps & Backup Waybar.
  • Journal sécurité opérationnel.

Supplément de documentation privée anonymisé

Morpheus SecOps - Quickstart Ops

Guide court pour l'exploitation quotidienne de Waybar SecOps, auditd et l'intégrité pacman/FIM. La page complète la documentation Auditd & SecOps: elle indique quoi regarder, dans quel ordre et quand escalader.

En régime nominal, l'état attendu est OK T0. Les maintenances attendues restent consultables dans l'infobulle et les journaux sans être présentées comme des alertes actives.

Check quotidien

  1. Regarder la pilule SecOps dans Waybar.
  2. Si OK T0: aucune action immédiate; le compteur de maintenance reste disponible dans l'infobulle.
  3. Si WARN, CRIT, T>0 ou couleur jaune/rouge: ouvrir journal puis rapport.
  4. Utiliser les actions bornées uniquement après lecture du contexte.
<secops-status-script>
tail -n 30 <operator-state>/audit-security.log
tail -n 30 <integrity-state>/package-integrity.log
tail -n 30 <fim-state>/repo-fim.log
cat <secureboot-status-cache>

Lecture rapide des niveaux

NiveauInterprétation
informationActivité faible, bruit attendu ou maintenance.
moyenÉvénement unitaire de persistance utilisateur.
élevéSignal fort ou corrélation de persistance.
critiqueSignal incident: auth, sudo, boot ou combinaison sensible.

Les maintenances attendues sont comptées dans l'infobulle. Elles ne sont pas une sévérité moyenne et ne polluent plus la pilule principale.

Latence de détection

  • auditd, collecteur et corrélateur: quasi temps réel.
  • FIM: confirmation par timer ou déclenchement manuel.
  • Secure Boot: état périodique publié dans un cache lisible.
  • En incident: lire d'abord les événements d'audit, puis le rapport SecOps.
systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
tail -n 20 <operator-state>/audit-security.log

Actions Waybar SecOps

InteractionEffet
Clic gaucheOuvre le journal recommandé avec confirmation.
Clic milieuOuvre le rapport recommandé.
Clic droitRésolution guidée des diffs ou état détaillé.

L'assistant affiche les écarts et exige une confirmation distincte avant chaque rebaseline. Le déploiement complet et le nettoyage global restent hors du menu public.

Remédiation standard

systemctl start <package-integrity-service>
journalctl -u <package-integrity-service> -n 80 --no-pager
<repo-fim-script> check <repo-target>
tail -n 80 <repo-fim-log>
<system-fim-script> check <system-targets>
tail -n 80 <system-fim-log>
systemctl start <secureboot-check-service>
cat <secureboot-status-cache>
<audit-reset-script>
Actions cadrées

Les commandes réelles restent privées. La page publique conserve l'ordre opératoire et les états attendus sans publier les chemins exploitables.

Runbook incident rapide

<secops-status-script>
tail -n 30 <operator-state>/audit-events.log
<secops-report-script> 24
<incident-lockdown-script>

Le rapport intégrité doit fournir un résumé CRITICAL/HIGH/MEDIUM des chemins en diff, l'état des services, les extraits utiles et l'état Secure Boot.

Diagnostic minimal

systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
cat <correlator-last-event-id>
cat <correlator-spool-cursor>
stat <audit-collector-raw-events>
stat <audit-collector-heartbeat>
tail -n 50 <operator-state>/audit-events.log
tail -n 50 <operator-state>/audit-security.log
systemctl --user restart <audit-correlator-service>

Si les événements existent dans auditd mais pas dans les logs Morpheus, vérifier d'abord collecteur, spool, permissions de groupe et heartbeat avant de redémarrer le corrélateur.

Résolution guidée et nettoyage post-tests

systemctl reset-failed <integrity-services>
<repo-fim-script> init <repo-target>
<system-fim-script> init <system-targets>
<secops-selftest-script>

Les diffs sont affichés avant toute rebaseline, chaque domaine exige une confirmation explicite et le reset n'est proposé qu'après un contrôle sain. Le self-test automatique valide les niveaux moyen, élevé et critique puis revient à un état sain.

Références

  • Auditd & SecOps: architecture et corrélation complète.
  • SecOps & Backup Waybar: états, infobulles et actions visibles.
  • Journal sécurité: corrections opérationnelles et faux positifs.