s0seche/Dockerized_SOC

GitHub: s0seche/Dockerized_SOC

一个全容器化的 SOC 平台,把 SIEM、事件响应与威胁情报组件统一编排,解决多工具割裂与部署复杂的问题。

Stars: 0 | Forks: 0

# Docker化 SOC 一个完全容器化的安全运营中心(SOC)技术栈,只需运行一次 `docker compose up` 即可完成部署。 ## 技术栈 | 服务 | 镜像 | 端口 | |---|---|---| | Elasticsearch | `elasticsearch:7.17.9` | 9200 | | Kibana | `kibana:7.17.9` | 5601 | | Logstash | `logstash:7.17.9` | 5044 | | Filebeat | `filebeat:7.17.9` | — | | TheHive | `strangebee/thehive:5.2` | 9003 | | Cortex | 自定义构建 | 9002 | | MISP | `misp-docker/misp-core:latest` | 80 / 443 | | MinIO | `quay.io/minio/minio` | 9000 / 9001 | | SOC 后端 | 自定义构建(FastAPI) | 9101 | | SOC 前端 | 自定义构建(React + Vite) | 9100 | ## 架构 ``` Linux Agents (Filebeat) │ ▼ Logstash :5044 │ ▼ Elasticsearch :9200 ◄──── Kibana :5601 │ ├──► TheHive :9003 ◄──► Cortex :9002 │ │ │ └──► MISP :443 │ └──► SOC Backend :9101 ◄──► SOC Frontend :9100 ``` ## 前置条件 - Docker >= 24.0 - Docker Compose >= 2.0 - 为容器分配约 8 GB 的可用 RAM ## 快速开始 **1. 克隆并配置** ``` git clone https://github.com/s0seche/Dockerized_SOC.git cd Dockerized_SOC # 复制 env 模板并填入您的值 cp .env.example .env ``` **2. (可选)初始化 Cortex analyzers** ``` git clone https://github.com/TheHive-Project/Cortex-Analyzers.git cortex_analyzer/Cortex-Analyzers ``` **3. 启动技术栈** ``` docker compose up -d ``` **4. (可选)向 Elasticsearch 注入测试数据** ``` python3 scripts/generate_events.py all ``` ## 配置 将 `.env.example` 复制为 `.env` 并设置你的值: ``` ELASTIC_URL=http://elasticsearch:9200 KIBANA_URL=http://kibana:5601 THEHIVE_URL=http://thehive:9000 THEHIVE_USERNAME= THEHIVE_PASSWORD= CORTEX_URL=http://cortex:9001 KIBANA_API_KEY= THEHIVE_API_KEY= CORTEX_API_KEY= ``` ## Linux Agent 在 Linux 端点上部署 Filebeat 以将日志转发至 Logstash: ``` cd agent_linux chmod +x install_beat.sh sudo ./install_beat.sh ``` 详情请参阅 [`agent_linux/README.md`](agent_linux/README.md)。 ## 服务 URL | 服务 | URL | 默认凭据 | |---|---|---| | Kibana | http://localhost:5601 | — | | TheHive | http://localhost:9003 | admin@thehive.local / secret | | Cortex | http://localhost:9002 | (首次运行设置) | | MISP | https://localhost | admin@admin.test / admin | | MinIO Console | http://localhost:9001 | minioadmin / minioadmin | | SOC Dashboard | http://localhost:9100 | — | | SOC API | http://localhost:9101/docs | — | ## Cortex — 故障排除 如果 analyzers 运行失败,请修复 jobs 目录的权限: ``` chmod 777 /tmp/cortex-jobs chown -R 1000:1000 /tmp/cortex-jobs ``` ## 项目结构 ``` Dockerized_SOC/ ├── agent_linux/ # Filebeat agent for Linux hosts ├── backend/ # FastAPI SOC backend ├── cortex/ # Cortex Dockerfile + application.conf ├── cortex_analyzer/ # Cortex-Analyzers subdir (git-ignored) ├── filebeat/ # Filebeat config for Docker log collection ├── frontend/ # React + Vite SOC dashboard ├── logstash/ # Logstash pipeline configs ├── scripts/ # Test data generation scripts └── docker-compose.yml # Main stack definition ``` ## 许可证 [MIT](LICENSE)
标签:AV绕过, Docker, FastAPI, React, SIEM, Syscalls, 威胁情报, 安全编排自动化与响应, 安全运营, 安全防御评估, 开发者工具, 扫描框架