WhiteMuush/Medusa

 [](LICENSE) [](https://github.com/WhiteMuush/Medusa/actions/workflows/ci.yml) [](.github/CONTRIBUTING.md) Medusa 是一个 bash 编排工具包，可通过交互式菜单或命令行部署和管理 **35 个开源网络安全工具**。 https://github.com/user-attachments/assets/2e23dc94-f597-4325-a44b-07263c609d04 ## 目录 - [前置条件](#prerequisites) - [安装说明](#installation) - [使用方法](#usage) - [模块](#modules) - [架构](#architecture) - [环境](#environments) - [可用工具](#available-tools) - [默认端口](#default-ports) - [安全](#security) ## 前置条件 - `docker` ：必需，容器部署 - `docker compose` 或 `docker-compose` ：必需，服务编排 - `git` ：必需，克隆官方仓库 - `curl` ：推荐，下载安装程序 - `python3` ：推荐，生成 UUID - `pip3` ：推荐，安装 CLI 工具（semgrep, prowler…） - `openssl` ：推荐，生成密码 检查前置条件： ``` ./medusa.sh check ``` ## 安装说明 ``` git clone https://github.com/WhiteMuush/medusa.git cd medusa chmod +x medusa.sh ./medusa.sh ``` 除系统前置条件外，无其他外部依赖。所有内容都包含在单个目录中。 ## 使用方法 ### 交互式菜单 ``` ./medusa.sh ``` 键盘导航： - `1–4` ：选择一个模块 - `5` ：状态仪表板 - `6` ：启动所有已部署的工具 - `7` ：停止所有工具 - `C` ：系统配置 - `Q` ：退出 ### 非交互式 CLI ``` ./medusa.sh deploy ./medusa.sh start ./medusa.sh stop ./medusa.sh restart ./medusa.sh status [tool] ./medusa.sh logs [lines] ./medusa.sh remove ./medusa.sh list [soc|grc|integration|ot] ./medusa.sh check ./medusa.sh version ``` 示例： ``` ./medusa.sh deploy wazuh ./medusa.sh start opencti ./medusa.sh logs misp 200 ./medusa.sh list soc ENV_NAME=audit_client ./medusa.sh deploy keycloak ``` ## 模块 ### 1. SOC / 检测与响应 14 个工具，涵盖完整的 SOC 技术栈：SIEM、XDR、NDR、CTI、SOAR、端点和网络取证。 ### 2. GRC / 治理与合规 5 个工具，用于风险管理、多框架合规（ISO 27001, NIS2, DORA, GDPR）、系统加固和网络钓鱼模拟。 ### 3. 集成（IAM、Cloud、CI/CD） 11 个工具，涵盖身份、密钥、容器/IaC/云漏洞扫描、SAST、DAST 以及代码仓库中的密钥检测。 ### 4. OT / 工业安全 5 个工具，用于被动工业网络监控、ICS/SCADA 资产映射和 OT 漏洞扫描。 ## 架构 ``` medusa/ ├── medusa.sh # Main entry point ├── lib/ │ ├── core.sh # Colors, utilities, Docker helpers, tool registry │ ├── modules.sh # Interactive menus, dashboard, session init │ ├── deploy_soc.sh # SOC deployment functions │ ├── deploy_grc.sh # GRC deployment functions │ ├── deploy_integration.sh # Integration deployment functions │ └── deploy_ot.sh # OT deployment functions └── medusa_deployments/ └── / └── / ├── docker-compose.yml ├── .env └── credentials.txt # chmod 600 ``` 每个工具都隔离在其自己的子目录中。安装状态由是否存在 `docker-compose.yml`（Docker 工具）或 `.installed`（CLI 工具）来决定。 ## 环境 Medusa 将每个工作上下文隔离在一个命名的环境中。启动时，提供三个选项： - `1` ：创建具有自定义名称的新环境 - `2` ：加载现有环境 - `3` ：自动生成名称（`env_YYYYMMDD_HHMMSS`） 部署内容存储在 `medusa_deployments//` 下。这允许维护独立的上下文：实验室、客户审计、培训等。 在 CLI 模式下，通过 `ENV_NAME` 变量设置环境： ``` ENV_NAME=lab_soc ./medusa.sh deploy wazuh ``` ## 可用工具 ### SOC / 检测与响应 - [**wazuh**](https://github.com/wazuh/wazuh-docker) `docker` ：SIEM/XDR，检测、响应、合规 - [**security-onion**](https://github.com/Security-Onion-Solutions/securityonion) `vm` ：NDR，网络监控（Suricata + Zeek） - [**suricata**](https://github.com/OISF/suricata) `docker` ：高性能网络 IDS/IPS - [**zeek**](https://github.com/zeek/zeek) `docker` ：被动网络流量分析 - [**opencti**](https://github.com/OpenCTI-Platform/opencti) `docker` ：CTI 平台，威胁情报 - [**misp**](https://github.com/MISP/misp-docker) `docker` ：共享失陷标示 - [**dfir-iris**](https://github.com/dfir-iris/iris-web) `docker` ：案例管理，取证调查 - [**cortex**](https://github.com/TheHive-Project/Cortex) `docker` ：可观测数据富化与主动响应 - [**velociraptor**](https://github.com/Velocidex/velociraptor) `docker` ：端取证与威胁狩猎 - [**shuffle**](https://github.com/Shuffle/Shuffle) `docker` ：SOAR，编排与自动化 - [**yara**](https://github.com/VirusTotal/yara) `cli` ：恶意软件检测规则 - [**grr**](https://github.com/google/grr) `docker` ：远程事件响应（Google） - [**arkime**](https://github.com/arkime/arkime) `docker` ：网络数据包捕获与索引 - [**sigma**](https://github.com/SigmaHQ/sigma) `cli` ：通用多 SIEM 检测规则 ### GRC / 治理与合规 - [**eramba**](https://github.com/eramba/docker) `docker` ：GRC，策略、风险、合规 - [**ciso-assistant**](https://github.com/intuitem/ciso-assistant-community) `docker` ：轻量级 GRC，多框架（NIS2, DORA, ISO 27001） - [**simplerisk**](https://github.com/simplerisk/simplerisk) `docker` ：风险管理、记录和评分 - [**openscap**](https://github.com/OpenSCAP/openscap) `cli` ：合规评估与系统加固 - [**gophish**](https://github.com/gophish/gophish) `docker` ：网络钓鱼模拟与意识培训 ### 集成（IAM、Cloud、CI/CD） - [**keycloak**](https://github.com/keycloak/keycloak) `docker` ：IAM、SSO、MFA、身份联合 - [**teleport**](https://github.com/gravitational/teleport) `cli` ：PAM，特权访问 SSH/Kubernetes/DB - [**vault**](https://github.com/hashicorp/vault) `docker` ：密钥管理器（开发模式） - [**trivy**](https://github.com/aquasecurity/trivy) `cli` ：容器与 IaC 漏洞扫描器 - [**semgrep**](https://github.com/semgrep/semgrep) `cli` ：SAST，静态代码分析 - [**owasp-zap**](https://github.com/zaproxy/zaproxy) `docker` ：DAST，Web 安全扫描器 - [**gitleaks**](https://github.com/gitleaks/gitleaks) `cli` ：Git 仓库中的密钥检测 - [**checkov**](https://github.com/bridgecrewio/checkov) `cli` ：静态 IaC 分析（Terraform, Kubernetes） - [**prowler**](https://github.com/prowler-cloud/prowler) `cli` ：云安全审计 AWS/Azure/GCP - [**scoutsuite**](https://github.com/nccgroup/ScoutSuite) `cli` ：带有 HTML 报告的多云审计 - [**falco**](https://github.com/falcosecurity/falco) `docker` ：云原生 runtime 威胁检测 ### OT / 工业安全 - [**malcolm**](https://github.com/cisagov/Malcolm) `docker` ：OT 网络流量分析，工业协议（CISA） - [**grfics**](https://github.com/Fortiphyd/GRFICSv2) `vm` ：用于培训实验室的 SCADA/ICS 模拟 - [**nmap**](https://github.com/nmap/nmap) `cli` ：网络映射与工业 NSE 脚本 - [**openvas**](https://github.com/greenbone/openvas-scanner) `docker` ：网络漏洞扫描器 - [**grassmarlin**](https://github.com/nsacyber/GRASSMARLIN) `vm` ：被动 ICS/SCADA 网络映射（NSA） ## 默认端口 - Wazuh Dashboard : `443` - OpenCTI : `8080` - MISP : `443` - DFIR-IRIS : `4433` - Cortex : `9001` - Velociraptor GUI : `8889` - Shuffle : `3443` - GRR : `8001` - Eramba : `8443` - CISO Assistant : `8443` - SimpleRisk : `8445` - GoPhish Admin : `3333` - Keycloak : `8180` - Vault : `8200` - OWASP ZAP : `8090` - Greenbone/OpenVAS : `9392` - Arkime : `8005` - Falco : daemon（无 Web 界面） ## 安全 - 密码随机生成（通过 `openssl` 生成 24 位字母数字字符） - 每个 `credentials.txt` 文件使用 `chmod 600` 创建 - `medusa_deployments/` 目录绝不能被提交（参见 `.gitignore`） - Vault 默认部署在 **dev** 模式下：仅限内存中的数据，请勿用于生产环境 - 脚本在以 `root` 身份运行时会发出警告，但不会阻止执行 ## 贡献 欢迎贡献。请参阅 [CONTRIBUTING.md](.github/CONTRIBUTING.md) 了解本地设置、代码规范和 PR 检查清单。关于 **添加新工具**的指南在 [docs/ADDING_A_TOOL.md](docs/ADDING_A_TOOL.md) 中，内部 架构记录在 [docs/ARCHITECTURE.md](docs/ARCHITECTURE.md) 中。 要报告漏洞，请参阅 [SECURITY.md](.github/SECURITY.md) —— **请勿公开提 issue**。 ## 许可证 [**MIT**](LICENSE)

标签：安全工具编排, 安全测试工具, 应用安全, 开源安全工具, 版权保护, 环境管理, 请求拦截, 逆向工程平台