s0seche/Dockerized_SOC

# Dockerized SOC ## 📦 服务 SOC 映射 | Service | Rôle | Description | | ------------- | -------------------- | ------------------------------------------ | | TheHive | 🐝 Incident Response | Gestion des alertes, cas et investigations | | Cassandra | 🗄️ Base NoSQL | Stockage des données TheHive | | Elasticsearch | 🔍 Moteur | Indexation et stockage des logs | | Kibana | 📊 SIEM | Visualisation et analyse | | MinIO | ☁️ S3 | Stockage des preuves | | Cortex | 🧠 Analyse | Enrichissement IOC | | MISP | 🌐 TI | Threat Intelligence | | MySQL | 🗄️ DB | Base MISP | | Redis | ⚡ Cache | Queue & cache | ## 🧱 架构 ``` [Clients] → Beats (Filebeat / Auditbeat / Packetbeat) ↓ Elasticsearch → Kibana ↓ TheHive ↔ Cortex ↔ MISP ↓ MinIO ``` ## 🔐 账户（LAB） | Service | Login | Password | | ------- | ------------------------------------------------- | ------------- | | MISP | [mispadmin@lab.local](mailto:mispadmin@lab.local) | mispadminpass | | MinIO | minioadmin | minioadmin | | MySQL | root / mispuser | misppass | ## 📊 代理 * Filebeat → logs * Auditbeat → activité système * Packetbeat → trafic réseau ## 🔎 用例 * Détection brute force SSH * Centralisation logs Linux / Windows * Analyse IOC via Cortex * Enrichissement via MISP * Visualisation via Kibana ## 📌 待办事项 | Domaine | Tâche | Statut | | ---------- | ---------------------------------------- | ------ | | 🖥️ Agents | Client Linux | ✅ | | 🖥️ Agents | Client Windows | ✅ | | 🖥️ Agents | Filebeat installé | ✅ | | 🖥️ Agents | Auditbeat installé | ✅ | | 🖥️ Agents | Packetbeat installé | ✅ | | 🖥️ Agents | Remontée logs OK | ✅ | | 📊 ELK | Elasticsearch opérationnel | ✅ | | 📊 ELK | Kibana opérationnel | ✅ | | 📊 ELK | Vérifier indexation logs | ✅ | | 📊 ELK | Créer dashboards | ⏳ | | 📊 ELK | Créer règles détection | ⏳ | | 📊 ELK | Mettre en place alertes | ⏳ | | 🧠 Cortex | Installation Cortex | ✅ | | 🧠 Cortex | Tester les analyzers | ⏳ | | 🐝 TheHive | Connexion TheHive ↔ Cortex | ⏳ | | 🐝 TheHive | Connexion TheHive ↔ Elasticsearch | ⏳ | | 🐝 TheHive | Automatisation alertes Elastic → TheHive | ⏳ | | 🧪 Tests | Générer événements (ssh fail, scan) | ⏳ | | 🧪 Tests | Vérifier détection Kibana | ⏳ | | 🧪 Tests | Vérifier remontée TheHive | ⏳ | ## 📈 项目状态 * TheHive : ✅ * Cortex : ⚙️ (90%) * MISP : ✅ * ELK : ⚙️ en cours - **Progression globale de l'Architecture : ~65%** - **Progression globale : ~45%** 💡 Architecture volontairement simplifiée (sans Logstash), évolutive vers une pipeline SIEM complète.

标签：Auditbeat, Cassandra, CIDR查询, Cortex, DNS通配符暴力破解, Docker, Elasticsearch, Filebeat, FTP漏洞扫描, Gradle集成, IOC分析, MinIO, Mutation, NIDS, Packetbeat, Redis, S3存储, TheHive, 企业安全, 参数枚举, 取证存储, 可视化, 威胁情报, 安全编排, 安全运营中心, 安全防御评估, 容器化, 开发者工具, 搜索, 搜索引擎查询, 数据湖, 日志集中化, 监控, 索引引擎, 网络映射, 网络资产管理, 自动化响应, 请求拦截, 越狱测试, 队列缓存