Souleiman22/Mini-SOC-Lab
GitHub: Souleiman22/Mini-SOC-Lab
一套基于 Wazuh、ELK、Suricata 和 TheHive 的迷你 SOC 实验室,帮助安全从业者快速搭建涵盖 SIEM、IDS/IPS 和事件响应的完整安全运营环境。
Stars: 0 | Forks: 0
# Mini-SOC-Lab
结合 Wazuh、ELK、Suricata 和 TheHive 的 Mini SOC 实验室,实现 SIEM、IDS/IPS 和事件响应。
好主意 😄 你想要一个“blink blink”版本(即清晰、直观、易于跟随)。我将为你重新整理 **PHASE 1**,使其像一个真正的 SOC 指南一样专业。
# 🚀 Mini-SOC 实验室 — PHASE 1 (Blink 版)
## 🎯 目标
部署:
* SIEM → **Wazuh**
* 可视化 → **ELK Stack**
👉 这是 **SOC 的核心**
# ⚡ 📅 DAY 1 — 设置与安装
## 🔵 STEP 1 — 更新系统
```
sudo apt update && sudo apt upgrade -y
```
## 🔵 STEP 2 — 安装依赖
```
sudo apt install -y curl wget git apt-transport-https gnupg2 software-properties-common unzip
```
## 🔵 STEP 3 — 下载 Wazuh
```
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.7/config.yml
ls -lh wazuh-install.sh config.yml
```
👉 确认文件已成功下载
## 🔵 STEP 4 — 配置 `config.yml`
```
nano config.yml
```
👉 将所有内容替换为:
```
nodes:
indexer:
- name: node-1
ip: "127.0.0.1"
server:
- name: wazuh-1
ip: "127.0.0.1"
dashboard:
- name: dashboard
ip: "127.0.0.1"
```
💾 保存:
* `CTRL + O` → Enter
* `CTRL + X`
## 🔵 STEP 5 — 生成证书 🔐
```
sudo bash wazuh-install.sh --generate-config-files
```
👉 这将创建 SSL 证书以保障通信安全
## 🔵 STEP 6 — 安装 Indexer (数据库)
```
sudo bash wazuh-install.sh --wazuh-indexer node-1 -i
```
👉 这相当于 **Elasticsearch**
## 🔵 STEP 7 — 安装 Server (SIEM)
```
sudo bash wazuh-install.sh --wazuh-server wazuh-1 -i
```
👉 这是核心大脑(分析日志 + 告警)
## 🔵 STEP 8 — 安装 Dashboard (Web 界面)
```
sudo bash wazuh-install.sh --wazuh-dashboard dashboard -i
```
👉 类似于 **Kibana** 的 Web 界面
# ✅ 在 PHASE 1 结束时
你应该具备:
* ✔ Wazuh Server 激活
* ✔ Indexer 激活
* ✔ Dashboard 可访问
## 🌐 Web 访问
打开浏览器:
```
https://localhost
```
默认登录信息:
```
user: admin
password: (affiché à la fin de l’installation)
```
# ⚠️ 在进入 PHASE 2 之前
请检查:
```
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboard
```
👉 所有服务都必须是 **active (running)** 状态
# 💡 小贴士 (重要)
如果遇到问题:
```
journalctl -xe
```
# 🔥 接下来 (PHASE 2)
你将添加:
* Suricata → 网络检测
* TheHive → 事件管理
如果你需要,我可以为你提供 **同样 blink blink 风格的 PHASE 2(更加酷炫 😎)**,或者在任何步骤卡住时为你提供帮助。
标签:AMSI绕过, CIDR查询, Elasticsearch, ELK Stack, IDS/IPS, Linux服务器, Logstash, Metaprompt, PB级数据处理, SOC实验环境, Suricata, TheHive, Wazuh, 入侵检测系统, 入侵防御系统, 内容过滤, 威胁检测, 威胁猎捕, 安全事件响应, 安全仪表盘, 安全可视化, 安全实验室, 安全数据湖, 安全架构, 安全运维, 安全运营中心, 实验指南, 库, 应急响应, 应用安全, 现代安全运营, 网络安全, 网络映射, 网络流量分析, 越狱测试, 隐私保护