wajdi-cpu/HavenShield
GitHub: wajdi-cpu/HavenShield
一套开箱即用的开源家庭实验室 SOC 方案,整合检测、编排、调查三层架构实现自动化安全运营。
Stars: 2 | Forks: 0
# HavenShield 🛡️
# ✨ 功能特性
- **自动响应**:条件性封禁(VirusTotal + 白名单校验)
- **工单管理**:集成 TheHive 以支持分析师工作流
- **零成本**:100% 免费/开源(AGPLv3/Apache 2.0/GPLv2)
# 📁 完整仓库结构
```
HavenShield/
├── CHANGELOG.md
├── deploy/
│ ├── case/
│ │ └── docker-compose.yml
│ ├── endpoit/
│ │ ├── ossec.conf
│ │ └── suricata.yaml
│ ├── siem/
│ │ └── ossec.conf
│ └── soar/
│ └── docker-compose.yml
├── LICENSE
├── README.md
├──.gitignore
└── screenshots
```
## 🚀 架构概览
HavenShield 实施了符合 NIST SP 800-61r2 事件响应指南的三层 SOC 架构:
```
┌─────────────────────────────────────────────────────────────────────────────┐
│ HAVENSHIELD SOC ARCHITECTURE │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ ┌──────────────────┐ ┌──────────────────┐ ┌───────────────────┐ │
│ │ Detection │ │ Orchestration │ │ Investigation │ │
│ │ Layer │────▶│ Layer │────▶│ Layer │ │
│ ├──────────────────┤ ├──────────────────┤ ├───────────────────┤ │
│ │ • Wazuh Manager │ │ • Shuffle SOAR │ │ • TheHive 5 │ │
│ │ • Suricata IDS │ │ • Conditional │ │ • VirusTotal API │ │
│ │ • OpenSearch DB │ │ Playbooks │ │ • Case Management │ │
│ │ • Agent Network │ └──────────────────┘ │ • Task Workflows │ │
│ └──────────────────┘ └───────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
```
## 🗡️ 组件规格说明:
```
┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
| Component | Version | Role | Resource Requirements | Configuration Focus |
|───────────────────|─────────|───────────────────────────────|────────────────────────|─────────────────────────────────────────────────|
| **Wazuh Manager** | 4.7.1 | SIEM / Log Aggregation | 4 GB RAM, 2 vCPU | Custom rule development, alert tuning |
| **Shuffle** | 1.1.0 | SOAR / Automation Engine | 2 GB RAM, 2 vCPU | Judgment-based playbooks, whitelist integration |
| **TheHive** | 4.1.15 | Case Management | 6 GB RAM, 2 vCPU | Cassandra stability tuning, analyst workflows |
| **VirusTotal** | API v3 | Threat Intelligence | N/A (cloud service) | Reputation threshold calibration |
| **Suricata** | 6.0.10 | Network IDS/IPS | 2 GB RAM, 2 vCPU | Custom signatures, threshold tuning |
| **OpenSearch** | 2.11.1 | Search & Analytics Engine | 2 GB RAM (shared) | Index optimization, security hardening |
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
```
## ⚔️ 网络拓扑:
```
┌─────────────────────────────────────────────────────────────────┐
│ HOME LAB NETWORK (192.168.0.0/24) │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌───────────────┐ ┌───────────────┐ ┌───────────────┐ │
│ │ SIEM │ │ SOAR │ │ CASE │ │
│ │ Server │ │ Server │ │ Server │ │
│ │ 192.168.0.100│ │ 192.168.0.101│ │ 192.168.0.102│ │
│ ├───────────────┤ ├───────────────┤ ├───────────────┤ │
│ │ • Wazuh │ │ • Shuffle │ │ • TheHive │ │
│ │ • OpenSearch │ │ • SQLite │ │ • Cassandra │ │
│ │ • Dashboard │ │ • Playbooks │ │ • Cortex │ │
│ └──────┬────────┘ └──────┬────────┘ └──────┬────────┘ │
│ │ │ │ │
│ └────────────────────┴────────────────────┘ │
│ │ │
│ ┌─────────┴───────────┐ │
│ │ │ │
│ ┌─────▼────────┐ ┌─────▼───────┐ │
│ │ Vuln │ │ Laptop │ │
│ │ Machine │ │ (Analyst) │ │
│ │ 192.168.0.114│ │ 192.168.0.50│ │
│ ├──────────────┤ └─────────────┘ │
│ │ • Wazuh │ │
│ │ Agent │ │
│ │ • Suricata │ │
│ └──────────────┘ │
│ │
│ │
└─────────────────────────────────────────────────────────────────┘
```
# ✨ 功能特性
- **自动响应**:条件性封禁(VirusTotal + 白名单校验)
- **工单管理**:集成 TheHive 以支持分析师工作流
- **零成本**:100% 免费/开源(AGPLv3/Apache 2.0/GPLv2)
# 📁 完整仓库结构
```
HavenShield/
├── CHANGELOG.md
├── deploy/
│ ├── case/
│ │ └── docker-compose.yml
│ ├── endpoit/
│ │ ├── ossec.conf
│ │ └── suricata.yaml
│ ├── siem/
│ │ └── ossec.conf
│ └── soar/
│ └── docker-compose.yml
├── LICENSE
├── README.md
├──.gitignore
└── screenshots
```
## 🚀 架构概览
HavenShield 实施了符合 NIST SP 800-61r2 事件响应指南的三层 SOC 架构:
```
┌─────────────────────────────────────────────────────────────────────────────┐
│ HAVENSHIELD SOC ARCHITECTURE │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ ┌──────────────────┐ ┌──────────────────┐ ┌───────────────────┐ │
│ │ Detection │ │ Orchestration │ │ Investigation │ │
│ │ Layer │────▶│ Layer │────▶│ Layer │ │
│ ├──────────────────┤ ├──────────────────┤ ├───────────────────┤ │
│ │ • Wazuh Manager │ │ • Shuffle SOAR │ │ • TheHive 5 │ │
│ │ • Suricata IDS │ │ • Conditional │ │ • VirusTotal API │ │
│ │ • OpenSearch DB │ │ Playbooks │ │ • Case Management │ │
│ │ • Agent Network │ └──────────────────┘ │ • Task Workflows │ │
│ └──────────────────┘ └───────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
```
## 🗡️ 组件规格说明:
```
┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
| Component | Version | Role | Resource Requirements | Configuration Focus |
|───────────────────|─────────|───────────────────────────────|────────────────────────|─────────────────────────────────────────────────|
| **Wazuh Manager** | 4.7.1 | SIEM / Log Aggregation | 4 GB RAM, 2 vCPU | Custom rule development, alert tuning |
| **Shuffle** | 1.1.0 | SOAR / Automation Engine | 2 GB RAM, 2 vCPU | Judgment-based playbooks, whitelist integration |
| **TheHive** | 4.1.15 | Case Management | 6 GB RAM, 2 vCPU | Cassandra stability tuning, analyst workflows |
| **VirusTotal** | API v3 | Threat Intelligence | N/A (cloud service) | Reputation threshold calibration |
| **Suricata** | 6.0.10 | Network IDS/IPS | 2 GB RAM, 2 vCPU | Custom signatures, threshold tuning |
| **OpenSearch** | 2.11.1 | Search & Analytics Engine | 2 GB RAM (shared) | Index optimization, security hardening |
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
```
## ⚔️ 网络拓扑:
```
┌─────────────────────────────────────────────────────────────────┐
│ HOME LAB NETWORK (192.168.0.0/24) │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌───────────────┐ ┌───────────────┐ ┌───────────────┐ │
│ │ SIEM │ │ SOAR │ │ CASE │ │
│ │ Server │ │ Server │ │ Server │ │
│ │ 192.168.0.100│ │ 192.168.0.101│ │ 192.168.0.102│ │
│ ├───────────────┤ ├───────────────┤ ├───────────────┤ │
│ │ • Wazuh │ │ • Shuffle │ │ • TheHive │ │
│ │ • OpenSearch │ │ • SQLite │ │ • Cassandra │ │
│ │ • Dashboard │ │ • Playbooks │ │ • Cortex │ │
│ └──────┬────────┘ └──────┬────────┘ └──────┬────────┘ │
│ │ │ │ │
│ └────────────────────┴────────────────────┘ │
│ │ │
│ ┌─────────┴───────────┐ │
│ │ │ │
│ ┌─────▼────────┐ ┌─────▼───────┐ │
│ │ Vuln │ │ Laptop │ │
│ │ Machine │ │ (Analyst) │ │
│ │ 192.168.0.114│ │ 192.168.0.50│ │
│ ├──────────────┤ └─────────────┘ │
│ │ • Wazuh │ │
│ │ Agent │ │
│ │ • Suricata │ │
│ └──────────────┘ │
│ │
│ │
└─────────────────────────────────────────────────────────────────┘
```
标签:AMSI绕过, Ask搜索, CIDR查询, CISA项目, DAST, DNS 解析, Docker, FTP漏洞扫描, Go语言工具, HTTP工具, IP 地址批量处理, Metaprompt, NIST, OISF, OPA, PE 加载器, Shuffle, SOAR, Suricata, TheHive, VirusTotal, Wazuh, 威胁检测, 子域名变形, 安全编排, 安全运营中心, 安全防御评估, 家庭实验室, 恶意软件分析, 日志管理, 现代安全运营, 知识库安全, 端点安全, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 自动化防御, 补丁管理, 规避技术, 请求拦截, 隐私保护, 靶场