mailtomcs2023/medha-soc

# MEDHA SOC **一个平台。一个代理。一次登录。完整的安全运营。** MEDHA SOC 是一个开源的、企业级的安全运营中心（Security Operations Center）平台，它通过一键部署和单点登录（SSO），将 7 个同类最佳的安全工具统一在一个自定义 UI 下。 ## 包含内容 | 组件 | 技术支撑 | 用途 | |-----------|-----------|---------| | **MEDHA Identity** | Keycloak | SSO, 用户管理, RBAC, MFA | | **MEDHA SIEM** | Wazuh + OpenSearch | 安全监控, 威胁检测, 日志管理 | | **MEDHA APM** | SigNoz | 应用性能监控, 分布式追踪 | | **MEDHA Access** | JumpServer | 特权访问管理, 浏览器 SSH/RDP | | **MEDHA Vault** | HashiCorp Vault | 密钥管理, 证书管理 | | **MEDHA Automate** | Shuffle SOAR | 安全编排, 自动化, AI 驱动的响应 | | **MEDHA Incidents** | DFIR-IRIS | 事件管理, 案例管理, 取证 | | **MEDHA Console** | Custom (Vue.js 3 + FastAPI) | 统一 SOC 门户, 单一管理面板 | ## 架构 ``` +-----------------------+ | MEDHA Console | | (Custom Web UI) | | Vue.js 3 + FastAPI | +-----------+-----------+ | +---------+----+----+---+---+----+--------+ | | | | | | | +----+---+ +---+--+ +---+--+ +--+--+ +---+--+ +----+---+ +------+ |Keycloak| |Wazuh | |SigNoz| |Jump | |Vault | |Shuffle | |IRIS | | | | | | | |Srvr | | | |SOAR | | | +--------+ +------+ +------+ +-----+ +------+ +--------+ +------+ | +------+------+ | Wazuh Agent | (Single agent per endpoint) +-------------+ ``` ## 快速开始 ### 前置条件 - Ubuntu 22.04+ (或任何支持 Docker 的 Linux) - 最低配置: 16GB RAM, 8 vCPU, 200GB SSD - Docker & Docker Compose v2 - 域名 (用于 SSL) ### 部署 ``` git clone https://github.com/mailtomcs2023/medha-soc.git cd medha-soc cp .env.example .env # 编辑 .env 配置您的域名和设置 ./deploy.sh ``` 访问地址: `https://your-domain.com` | 默认管理员: `admin@medha-soc` ## 项目结构 ``` medha-soc/ ├── deploy.sh # One-click deployment script ├── docker-compose.yml # Master compose file ├── .env.example # Environment template ├── nginx/ # Reverse proxy configs ├── keycloak/ # Realm config, themes ├── wazuh/ # Wazuh configs, rules, decoders ├── signoz/ # SigNoz configs ├── jumpserver/ # JumpServer configs ├── vault/ # Vault policies, configs ├── shuffle/ # Shuffle workflows ├── iris/ # DFIR-IRIS configs ├── console/ # MEDHA Console (custom UI) │ ├── frontend/ # Vue.js 3 + TypeScript │ └── backend/ # Python FastAPI ├── agents/ # Agent install scripts │ ├── install.sh # Linux one-liner │ └── install.ps1 # Windows one-liner ├── scripts/ # Utility scripts ├── docs/ # Documentation └── tests/ # E2E and integration tests ``` ## 阶段规划 - **阶段 1: 基础建设** - 一键部署, SSO, 所有 7 个工具运行 - **阶段 2: 控制台** - 自定义 Vue.js 门户, API 网关, Server 360 - **阶段 3: 代理与引导** - 通用代理安装程序, 多租户 - **阶段 4: AI 与进阶功能** - AI 助手, 合规报告, 威胁情报 请参阅 [EPIC.md](EPIC.md) 获取完整的产品规格说明。 ## 系统要求 | 规模 | 代理数 | CPU | 内存 | 磁盘 | |------|--------|-----|-----|------| | 小型 | 最多 50 | 8 vCPU | 16GB | 200GB SSD | | 中型 | 最多 200 | 16 vCPU | 32GB | 500GB SSD | | 大型 | 最多 1000 | 32 vCPU | 64GB | 1TB SSD | ## 技术栈 - **前端:** Vue.js 3 + TypeScript + Tailwind CSS - **后端:** Python FastAPI - **认证:** Keycloak (OIDC) - **SIEM:** Wazuh 4.x + OpenSearch 2.x - **APM:** SigNoz - **PAM:** JumpServer - **密钥:** HashiCorp Vault - **SOAR:** Shuffle - **事件:** DFIR-IRIS - **部署:** Docker Compose - **CI/CD:** GitHub Actions - **代理:** Nginx + Let's Encrypt ## 许可证 MEDHA SOC 基于 **AGPL-3.0** 许可证发布。 各个组件保留其原始许可证。 ## 贡献 我们欢迎各种贡献！请参阅 [CONTRIBUTING.md](docs/CONTRIBUTING.md) 了解指南。

标签：AMSI绕过, APM, AV绕过, DevSecOps, Docker, EDR, Elasticsearch, FastAPI, GPT, HashiCorp Vault, HTTP工具, IAM, IT运维, JSONLines, JumpServer, Keycloak, OISF, PAM, PE 加载器, Shuffle, SigNoz, SOAR, Socks5代理, SSO, StruQ, Vue.js, Wazuh, Web截图, 一站式安全, 上游代理, 企业级安全, 全栈安全, 分布式追踪, 单点登录, 合规监控, 后渗透, 堡垒机, 威胁检测, 子域名变形, 安全运营中心, 安全防御评估, 容器安全, 应用性能监控, 数字取证, 日志管理, 漏洞管理, 特权访问管理, 端点检测与响应, 统一安全平台, 编排自动化, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 自动化脚本, 请求拦截, 身份与访问管理, 逆向工具, 隐私保护, 零信任