aminechaouachi1/SOC-Open-Source-Healthcare-Environment

# 🏥 SOC Open-Source – 医疗环境 ## 📐 架构概述 ``` ┌─────────────────────────────────────────────────────────────────┐ │ VMware Workstation │ │ │ │ ┌─────────────┐ ┌──────────────┐ ┌──────────────────┐ │ │ │ Kali Linux │ │ OPNsense │ │ pfSense │ │ │ │ (Attacker) │───▶│ (Firewall/ │ │ (Perimeter FW / │ │ │ │ │ │ NIDS edge) │ │ Segmentation) │ │ │ └─────────────┘ └──────┬───────┘ └────────┬─────────┘ │ │ │ │ │ │ ┌──────────────▼─────────────────────▼──────────┐ │ │ │ Internal Network │ │ │ │ │ │ │ ┌───────────▼──────┐ ┌────────────────┐ ┌──────────────┐ │ │ │ │ Wazuh + ELK │ │ n8n (SOAR) │ │ MISP │ │ │ │ │ (SIEM/HIDS + │ │ Workflows + │ │ (Threat │ │ │ │ │ Log Pipeline) │ │ Automation │ │ Intelligence)│ │ │ │ └──────────────────┘ └────────┬───────┘ └──────────────┘ │ │ │ │ │ │ │ ┌────────────▼──────────┐ │ │ │ │ TheHive + Cortex │ │ │ │ │ (Case Mgmt + IOC │ │ │ │ │ Analysis) │ │ │ │ └───────────────────────┘ │ │ │ └──────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ## 🛠️ 技术栈 | 层级 | 角色 | 工具 | |---|---|---| | SIEM / HIDS | 日志关联、基于主机的检测 | Wazuh | | 日志管道与可视化 | 收集、解析、仪表板 | ELK Stack (Elasticsearch, Logstash, Kibana) | | NIDS | 网络入侵检测 | Suricata + Zeek | | 防火墙 / 分段 | 边界控制、网络隔离 | OPNsense + pfSense | | SOAR | 事件响应自动化 | n8n | | 案件管理 | 事件跟踪与分诊 | TheHive | | IOC 分析 | 自动化工件分析 | Cortex (VirusTotal, AbuseIPDB 分析器) | | 威胁情报 | IOC 共享与关联 | MISP | | 攻击机 | 攻击模拟 | Kali Linux | | 虚拟机监控程序 | 虚拟化 | VMware Workstation | ## 📁 仓库结构 ``` soc-healthcare-lab/ ├── README.md ├── architecture/ │ ├── diagram.png # Full SOC architecture diagram │ └── network-topology.md # IP ranges, VLANs, VM roles ├── configs/ │ ├── suricata/ │ │ └── local.rules # Custom detection rules │ ├── wazuh/ │ │ ├── local_rules.xml # Custom Wazuh rules │ │ └── ossec.conf # Agent/manager config (sanitized) │ └── logstash/ │ └── soc-pipeline.conf # Log ingestion pipeline ├── playbooks/ │ ├── brute-force-ssh.md │ ├── ransomware-detection.md │ └── privilege-escalation.md ├── attack-simulations/ │ └── scenarios.md # What was run, what fired ├── dashboards/ │ └── screenshots/ # Kibana / TheHive screenshots ├── threat-intelligence/ │ └── misp-integration.md # MISP setup and IOC workflow └── compliance/ └── mapping.md # HIPAA / GDPR / ISO 27001 mapping ``` ## 🔴 攻击模拟 | 场景 | 使用的工具 | 检测来源 | 触发的告警 | |---|---|---|---| | SSH 暴力破解 | Hydra (Kali) | Wazuh 规则 5712 | 多次认证失败 | | 网络端口扫描 | Nmap (Kali) | Suricata + Zeek | ET SCAN Nmap 规则 | | 勒索软件行为 | 自定义脚本 | Wazuh FIM + syscheck | 大量文件修改告警 | | 权限提升 | Kali (sudo 滥用 / SUID) | Wazuh 规则 5500+ | 权限提升检测到 | ## ⚙️ 自动化剧本 (n8n) | 剧本 | 触发条件 | 动作 | |---|---|---| | SSH 暴力破解 | Wazuh 规则 5712 | 通过 OPNsense API 阻断 IP → 创建 TheHive 案件 → 通过 Cortex/AbuseIPDB 丰富 → 通知 | | 勒索软件检测 | Wazuh FIM 大量告警 | 隔离主机 → 创建 TheHive 案件 → 在 MISP 中标记 IOC → 通知 | | 权限提升 | Wazuh 规则 5500+ | 创建 TheHive 案件 → Cortex 哈希分析 → 提升严重级别 → 通知 | ## 📊 合规映射 | 要求 | 框架 | 实施 | |---|---|---| | 审计日志与监控 | HIPAA §164.312(b) | Wazuh + ELK — 收集并保留所有访问日志 | | 访问控制 | HIPAA §164.312(a) | pfSense/OPNsense ACL、Wazuh 用户监控 | | 事件响应 | HIPAA §164.308(a)(6) | TheHive 案件管理 + n8n 自动化响应 | | 数据泄露检测 | GDPR Art. 33 | Suricata + Wazuh 实时告警管道 | | 安全控制 | ISO 27001 A.12 | 完整的监控栈与已记录的剧本 | ## 🚀 快速开始 请参阅 [`architecture/network-topology.md`](architecture/network-topology.md) 了解 IP 地址和虚拟机设置。 每个工具的配置文件位于 [`configs/`](configs/)，并附有行内注释。 ## 👤 作者 **Amine Chaouachi** — 网络安全工程四年级学生，ESPRIT 图尼斯 [LinkedIn](https://www.linkedin.com/in/amine-chaouachi-351737231)

标签：Compliance, DNS通配符暴力破解, ELK, GDPR, Healthcare Infrastructure, Healthcare Security, HIDS, HIPAA, ISO 27001, Metaprompt, n8n, OPNsense, pfSense, SOAR, VMware Workstation, Wazuh, 医疗安全, 威胁情报, 安全运营中心, 开发者工具, 日志管道, 日志采集, 网络分段, 网络映射, 自动化事件响应