TeeLaReina/Raavix-SOC-Platform

# Raavix SOC 平台 **构建者：** Yetunde Duze — 安全基础设施工程师 **状态：** 🟡 开发中 **开始时间：** 2026 年 6 月 ## 项目简介 Raavix 是一个功能完善的安全运营中心（SOC）平台，可供任何需要企业级安全监控的组织部署，且无需承担企业级许可成本。 它将业界标准的开源工具整合到一个单一且集成的环境中，涵盖检测、告警、案例管理、威胁情报、自动化响应和合规报告——并由 Claude AI 提供智能告警分诊与分析。 ## 适用对象 本环境专为以下对象设计接入： - 处理知名客户数据的媒体公司 - 拥有敏感文件的律师事务所和会计师事务所 - 金融科技与云计算公司 - 基金会与非政府组织（NGO） - 任何需要符合 ISO 27001 或 SOC2 标准的安全运营的中小企业（SMB） ## 核心技术栈 | 层级 | 工具 | 用途 | | ------------------- | -------------------------- | ----------------------------------- | | SIEM / XDR | Wazuh | 日志收集、关联、告警 | | 案例管理 | TheHive 5 | 事件跟踪与调查 | | 富化 | Cortex | 自动化 IOC 分析 | | 威胁情报 | MISP | 威胁情报源与指标共享 | | SOAR | n8n | 自动化响应工作流 | | AI 分诊 | Claude API (Anthropic) | 智能告警分析 | | IAM / SSO / MFA | Keycloak | 身份管理、单点登录、MFA | | 防火墙 / VPN | OPNsense + WireGuard | 网络安全与访问 | | 网络 IDS | Suricata | 数据包级别的威胁检测 | | 内部 PKI | Step-CA | 证书管理 | | 仪表板 | Grafana | SOC 与高管报告 | | CSPM | Prowler | 云安全态势 | | 漏洞管理 | OpenVAS + Wazuh | 漏洞扫描 | | 边缘安全 | Cloudflare | DDoS、WAF、SSL、DNS | | 云基础设施 | Oracle Cloud (Always Free) | 托管 | ## 架构 ``` Internet → Cloudflare (WAF/DDoS/SSL) → Nginx Proxy Manager → WireGuard VPN (authenticated access) → Internal Services (Wazuh, TheHive, Keycloak, Grafana) → AI Layer (Claude API via n8n) ``` 关键设计决策及其理由记录在 [`docs/architecture-decisions.md`](docs/architecture-decisions.md) 中。 ## 合规对齐 - ISO/IEC 27001:2022 - SOC 2 Type II 标准 - NDPR（尼日利亚数据保护条例） 合规映射文档：`docs/compliance/` ## 项目结构 ``` Raavix-SOC-Platform/ ├── docs/ │ ├── phase1-detection.md │ ├── architecture-decisions.md │ ├── architecture/ │ ├── compliance/ │ ├── playbooks/ │ └── onboarding/ ├── evidence/ │ └── phase1-wazuh/ ├── configs/ │ ├── wazuh/ │ ├── opnsense/ │ ├── keycloak/ │ └── nginx/ └── automation/ ├── n8n-workflows/ └── claude-prompts/ ``` ## 构建进度 - [x] 阶段 0 — 基础设施设置与代码仓库 - [x] 阶段 1 — Wazuh SIEM 部署与检测验证 → [详细记录](docs/phase1-detection.md) - [ ] 阶段 2 — TheHive + Cortex + MISP 集成 - [ ] 阶段 3 — Keycloak SSO + MFA + WireGuard VPN - [ ] 阶段 4 — Claude AI 告警分诊层 - [ ] 阶段 5 — Grafana 仪表板 - [ ] 阶段 6 — 漏洞管理 - [ ] 阶段 7 — SOAR playbook 自动化 - [ ] 阶段 8 — 合规文档 - [ ] 阶段 9 — 客户接入指南 ## 阶段 1 亮点 阶段 1 部署了 Wazuh，并验证了对受监控的 Windows endpoint 发起的四阶段攻击的端到端检测，该检测映射至 MITRE ATT&CK： - **T1110** 暴力破解 — 登录失败突发 + 频率关联 - **T1078** 有效账户 — 突发后的成功入侵 - **T1136.001 / T1098** 本地账户创建 + 权限提升（持久化） - 清理检测 — 后门账户移除也被标记 完整细节（包含记录详尽的故障排除调查）请参阅 [`docs/phase1-detection.md`](docs/phase1-detection.md)。 ## 作者 **Yetunde Duze** 安全基础设施工程师 [LinkedIn](https://www.linkedin.com/in/yetunde-duze/) | [GitHub](https://github.com/TeeLaReina)

标签：Metaprompt, SOAR, 安全人工智能, 安全合规, 安全运营平台, 网络代理, 身份与访问管理