ajokunu/MatchBox
GitHub: ajokunu/MatchBox
一个在 Mac Mini M4 上通过 k3s 运行的轻量级家庭安全运营中心,集成了 SIEM、威胁情报、事件响应、监控和 AI 辅助能力。
Stars: 3 | Forks: 0
# MatchBox
一个运行在轻量级 Kubernetes 上的专业级家庭 SOC(安全运营中心),专为 Mac Mini M4(16GB RAM)设计。
## 包含内容
| 组件 | 角色 | 用途 |
|-----------|------|-----|
| **Wazuh 4.14.3** | SIEM/XDR | 日志收集、威胁检测、文件完整性监控、漏洞扫描 |
| **OpenCTI 6.9.5** | 威胁情报 | MITRE ATT&CK 映射、IOC 管理、威胁情报源聚合 |
| **TheHive + Cortex** | 事件响应 | 案件管理、自动化分析(VirusTotal、AbuseIPDB 等) |
| **Grafana** | 监控 | SOC 仪表盘、集群健康状态、合规性可视化 |
| **k3s** | Kubernetes | 为所有组件提供轻量级编排 |
| **MCP Servers** | AI 集成 | Claude Code 可直接查询告警、案件和威胁情报 |
## 快速开始
### 前置条件
- macOS with Apple Silicon (M1/M2/M3/M4)
- 已安装 Homebrew
- 16GB+ RAM(推荐 32GB)
- 120GB+ 可用磁盘空间
### 1. 安装依赖
```
brew install lima kubectl helm
```
### 2. 启动集群
```
cd MatchBox
./scripts/setup-lima.sh
```
### 3. 部署软件栈
```
./scripts/deploy-stack.sh
```
### 4. 访问仪表盘
添加至 `/etc/hosts`:
```
soc.homelab.local
```
然后打开:
- Wazuh: https://soc.homelab.local/wazuh
- TheHive: https://soc.homelab.local/thehive
- OpenCTI: https://soc.homelab.local/opencti
- Grafana: https://soc.homelab.local/grafana
### 5. 测试 Pipeline
```
./scripts/test-flow.sh
```
## 资源配置(精简版)
专为 16GB Mac Mini M4 设计。Lima VM 分配 10GB RAM。
| 状态 | RAM 占用 | 运行内容 |
|-------|-----------|----------------|
| 稳态 | ~7.1GB | k3s、OpenSearch、Wazuh、监控(常驻运行) |
| 调查模式 | ~10.5GB | + TheHive、Cortex、OpenCTI(按需运行) |
| 全栈 | ~10.5GB | 全部组件,通过 CronJobs 调度连接器 |
## MCP Server 集成
三个自定义 MCP Server 让 Claude Code 与 SOC 进行交互:
```
# 从 Claude Code 查询 Wazuh 警报
"Show me all critical alerts from the last 24 hours"
# 管理 TheHive 案例
"Create a case for the brute force attack on 192.168.1.50"
# 搜索 OpenCTI 威胁情报
"What MITRE ATT&CK techniques are associated with this IP?"
```
## 仪表盘
**MatchBox SOC Command Center** 是一个 SvelteKit 仪表盘,通过实时监控将所有 5 个服务统一在同一个界面中。
### 运行仪表盘
```
# 1. 复制环境配置
cp .env.example .env
# 使用您的服务凭证编辑 .env
# 2. Port-forward Grafana (来自您的 k3s 集群)
kubectl port-forward -n monitoring svc/monitoring-grafana 3000:80 &
# 3. 启动 dashboard
cd dashboard
npm install
npm run dev -- --port 5173
# 4. 打开 http://localhost:5173
```
### 功能特性
- **服务概览** — Wazuh、Grafana、OpenCTI、TheHive 和 Cortex 的健康状态与关键指标
- **实时监控** — 内嵌 Grafana 仪表盘(Wazuh SOC、K8s Cluster、Node Exporter、CoreDNS)并支持主题同步
- **Wazuh 详情** — 告警分类、agent 状态、CIS Benchmark SCA 合规性及分段进度条
- **服务专页** — 每个工具的深度视图与实时指标
- **Solarized 主题** — 支持在仪表盘和内嵌的 Grafana 之间同步切换的浅色/深色模式
## 文档
- [架构设计](docs/architecture.md)
- [网络拓扑图](docs/network-diagram.md)
- [资源需求](docs/resource-requirements.md)
- [集成详情](docs/integrations.md)
- [MCP Server 设计](docs/mcp-servers.md)
- [操作手册:初始设置](docs/runbooks/initial-setup.md)
- [操作手册:添加 Agent](docs/runbooks/adding-agents.md)
- [操作手册:事件响应](docs/runbooks/incident-response.md)
一个运行在轻量级 Kubernetes 上的专业级家庭 SOC(安全运营中心),专为 Mac Mini M4(16GB RAM)设计。
## 包含内容
| 组件 | 角色 | 用途 |
|-----------|------|-----|
| **Wazuh 4.14.3** | SIEM/XDR | 日志收集、威胁检测、文件完整性监控、漏洞扫描 |
| **OpenCTI 6.9.5** | 威胁情报 | MITRE ATT&CK 映射、IOC 管理、威胁情报源聚合 |
| **TheHive + Cortex** | 事件响应 | 案件管理、自动化分析(VirusTotal、AbuseIPDB 等) |
| **Grafana** | 监控 | SOC 仪表盘、集群健康状态、合规性可视化 |
| **k3s** | Kubernetes | 为所有组件提供轻量级编排 |
| **MCP Servers** | AI 集成 | Claude Code 可直接查询告警、案件和威胁情报 |
## 快速开始
### 前置条件
- macOS with Apple Silicon (M1/M2/M3/M4)
- 已安装 Homebrew
- 16GB+ RAM(推荐 32GB)
- 120GB+ 可用磁盘空间
### 1. 安装依赖
```
brew install lima kubectl helm
```
### 2. 启动集群
```
cd MatchBox
./scripts/setup-lima.sh
```
### 3. 部署软件栈
```
./scripts/deploy-stack.sh
```
### 4. 访问仪表盘
添加至 `/etc/hosts`:
```
**MatchBox SOC Command Center** 是一个 SvelteKit 仪表盘,通过实时监控将所有 5 个服务统一在同一个界面中。
### 运行仪表盘
```
# 1. 复制环境配置
cp .env.example .env
# 使用您的服务凭证编辑 .env
# 2. Port-forward Grafana (来自您的 k3s 集群)
kubectl port-forward -n monitoring svc/monitoring-grafana 3000:80 &
# 3. 启动 dashboard
cd dashboard
npm install
npm run dev -- --port 5173
# 4. 打开 http://localhost:5173
```
### 功能特性
- **服务概览** — Wazuh、Grafana、OpenCTI、TheHive 和 Cortex 的健康状态与关键指标
- **实时监控** — 内嵌 Grafana 仪表盘(Wazuh SOC、K8s Cluster、Node Exporter、CoreDNS)并支持主题同步
- **Wazuh 详情** — 告警分类、agent 状态、CIS Benchmark SCA 合规性及分段进度条
- **服务专页** — 每个工具的深度视图与实时指标
- **Solarized 主题** — 支持在仪表盘和内嵌的 Grafana 之间同步切换的浅色/深色模式
## 文档
- [架构设计](docs/architecture.md)
- [网络拓扑图](docs/network-diagram.md)
- [资源需求](docs/resource-requirements.md)
- [集成详情](docs/integrations.md)
- [MCP Server 设计](docs/mcp-servers.md)
- [操作手册:初始设置](docs/runbooks/initial-setup.md)
- [操作手册:添加 Agent](docs/runbooks/adding-agents.md)
- [操作手册:事件响应](docs/runbooks/incident-response.md)标签:MITM代理, x64dbg, 威胁情报, 威胁狩猎, 子域名突变, 安全运营中心, 库, 应急响应, 开发者工具, 监控, 网络映射