s0seche/Dockerized_SOC
GitHub: s0seche/Dockerized_SOC
一个全容器化的 SOC 平台,把 SIEM、事件响应与威胁情报组件统一编排,解决多工具割裂与部署复杂的问题。
Stars: 0 | Forks: 0
# Docker化 SOC
一个完全容器化的安全运营中心(SOC)技术栈,只需运行一次 `docker compose up` 即可完成部署。
## 技术栈
| 服务 | 镜像 | 端口 |
|---|---|---|
| Elasticsearch | `elasticsearch:7.17.9` | 9200 |
| Kibana | `kibana:7.17.9` | 5601 |
| Logstash | `logstash:7.17.9` | 5044 |
| Filebeat | `filebeat:7.17.9` | — |
| TheHive | `strangebee/thehive:5.2` | 9003 |
| Cortex | 自定义构建 | 9002 |
| MISP | `misp-docker/misp-core:latest` | 80 / 443 |
| MinIO | `quay.io/minio/minio` | 9000 / 9001 |
| SOC 后端 | 自定义构建(FastAPI) | 9101 |
| SOC 前端 | 自定义构建(React + Vite) | 9100 |
## 架构
```
Linux Agents (Filebeat)
│
▼
Logstash :5044
│
▼
Elasticsearch :9200 ◄──── Kibana :5601
│
├──► TheHive :9003 ◄──► Cortex :9002
│ │
│ └──► MISP :443
│
└──► SOC Backend :9101 ◄──► SOC Frontend :9100
```
## 前置条件
- Docker >= 24.0
- Docker Compose >= 2.0
- 为容器分配约 8 GB 的可用 RAM
## 快速开始
**1. 克隆并配置**
```
git clone https://github.com/s0seche/Dockerized_SOC.git
cd Dockerized_SOC
# 复制 env 模板并填入您的值
cp .env.example .env
```
**2. (可选)初始化 Cortex analyzers**
```
git clone https://github.com/TheHive-Project/Cortex-Analyzers.git cortex_analyzer/Cortex-Analyzers
```
**3. 启动技术栈**
```
docker compose up -d
```
**4. (可选)向 Elasticsearch 注入测试数据**
```
python3 scripts/generate_events.py all
```
## 配置
将 `.env.example` 复制为 `.env` 并设置你的值:
```
ELASTIC_URL=http://elasticsearch:9200
KIBANA_URL=http://kibana:5601
THEHIVE_URL=http://thehive:9000
THEHIVE_USERNAME=
THEHIVE_PASSWORD=
CORTEX_URL=http://cortex:9001
KIBANA_API_KEY=
THEHIVE_API_KEY=
CORTEX_API_KEY=
```
## Linux Agent
在 Linux 端点上部署 Filebeat 以将日志转发至 Logstash:
```
cd agent_linux
chmod +x install_beat.sh
sudo ./install_beat.sh
```
详情请参阅 [`agent_linux/README.md`](agent_linux/README.md)。
## 服务 URL
| 服务 | URL | 默认凭据 |
|---|---|---|
| Kibana | http://localhost:5601 | — |
| TheHive | http://localhost:9003 | admin@thehive.local / secret |
| Cortex | http://localhost:9002 | (首次运行设置) |
| MISP | https://localhost | admin@admin.test / admin |
| MinIO Console | http://localhost:9001 | minioadmin / minioadmin |
| SOC Dashboard | http://localhost:9100 | — |
| SOC API | http://localhost:9101/docs | — |
## Cortex — 故障排除
如果 analyzers 运行失败,请修复 jobs 目录的权限:
```
chmod 777 /tmp/cortex-jobs
chown -R 1000:1000 /tmp/cortex-jobs
```
## 项目结构
```
Dockerized_SOC/
├── agent_linux/ # Filebeat agent for Linux hosts
├── backend/ # FastAPI SOC backend
├── cortex/ # Cortex Dockerfile + application.conf
├── cortex_analyzer/ # Cortex-Analyzers subdir (git-ignored)
├── filebeat/ # Filebeat config for Docker log collection
├── frontend/ # React + Vite SOC dashboard
├── logstash/ # Logstash pipeline configs
├── scripts/ # Test data generation scripts
└── docker-compose.yml # Main stack definition
```
## 许可证
[MIT](LICENSE)
标签:AV绕过, Docker, FastAPI, React, SIEM, Syscalls, 威胁情报, 安全编排自动化与响应, 安全运营, 安全防御评估, 开发者工具, 扫描框架