diagonalciso/wazuh-full-soc
GitHub: diagonalciso/wazuh-full-soc
一个以 Wazuh SIEM 为核心、通过单命令在单机部署完整安全运营中心的开源项目,整合了告警分诊、威胁情报、漏洞管理、事件响应等十余个关联服务。
Stars: 1 | Forks: 0
# Wazuh 完整 SOC
**一条命令部署完整的、自托管的 Security Operations Center**,围绕外部的
[Wazuh](https://wazuh.com) SIEM — 包含告警分诊、威胁情报、漏洞管理、事件
响应、欺骗技术,以及统一的运营大屏。
Wazuh Full SOC 打包了 SOC 中心起始页(**CD-Startpage**)及其链接的所有服务,并通过
单个安装程序将整个技术栈部署起来。
```
git clone --recursive git@github.com:diagonalciso/wazuh-full-soc.git
cd wazuh-full-soc
cp config/suite.env.example config/suite.env # edit host + Wazuh + SMTP + keys
sudo ./install.sh --profile full --host 192.0.2.10
```
然后打开 **http://:8080/** — 即 SOC 运营大屏。
## 系统要求
| | 最低配置 | 推荐配置 |
|---|---|---|
| 操作系统 | Ubuntu 22.04 / Debian 12 | Ubuntu 24.04 |
| 内存 | 8 GB | 16 GB (Wazuh indexer + socint/OpenSearch 非常消耗内存) |
| 磁盘 | 40 GB | 100 GB+ SSD |
| CPU | 4 核 | 8 核 |
| GPU | — (仅 CPU 的 AI 也可运行) | NVIDIA GPU (CUDA) — socops AI 分诊在 GPU 卸载的 llama-server 上运行速度要快一个数量级 |
| 软件 | `python3 >= 3.11`, `git`, `openssl`, `curl`, **Docker + `docker compose` 插件** | |
| 权限 | root / `sudo` | |
`vm.max_map_count=262144` 会自动设置。完整详情 → [docs/INSTALL.md](docs/INSTALL.md)。
## 包含内容
| 服务 | 端口 | 用途 |
|---------|------|---------|
| **CD-Startpage** (枢纽) | 8080 | 运营大屏 — 实时 KPI、攻击者地图、服务状态 |
| socops | 8081 | AI 辅助的告警分诊 + 富化 (Wazuh) |
| SBOMguard | 8082 | SBOM / CVE 漏洞态势 |
| socint | 8000 / 8083 | ~40 个连接器的 STIX 2.1 威胁情报平台 (Docker) |
| ir-case-manager | 8206 | 事件响应 case 管理 |
| socmap | 8100 | 实时攻击地图 |
| DFIR-IRIS | 8443 | 事件响应 case 平台 (Docker) |
| roadmap-dashboard | 8090 | 统一路线图门户 |
| phishing-analyzer | 8091 | 邮件解析 + IOC 提取 |
| attack-surface-monitor | 8092 | 外部暴露监控 |
| canary-token-manager | 8093 | 欺骗 token |
| credential-exposure-monitor | 8094 | 数据泄露 / 凭据监控 |
| passive-dns-monitor | 8095 | DNS / 子域名追踪 |
| ransomware-tracker | 8096 | 勒索软件受害者/组织追踪器 |
| shinyhunters-tracker | 8097 | ShinyHunters 行为追踪器 |
| qilin-tracker | 8098 | Qilin 行为追踪器 |
| CyberChef | 8102 | GCHQ 数据解码 / 加密 / 格式工具包 (Docker) |
| SpiderFoot | 8103 | OSINT 侦察 / 攻击面自动化 (Docker) |
| **Wazuh** SIEM | 443 (仪表盘), 9200, 55000, 1514/1515 | Indexer + manager + dashboard,由套件进行 **all-in-one** 安装 |
**全部集中在一台服务器上。** Wazuh Full SOC 通过官方 `wazuh-install.sh -a` 安装 **Wazuh** SIEM (indexer + manager + dashboard),并将每个服务与其连接。在 `suite.env` 中设置 `INSTALL_WAZUH=false`,即可指向预先存在的外部 Wazuh。*Wazuh Map* 链接指向 Wazuh 主机上的可选攻击地图(默认仅为链接)。
## 文档
- 🆕 **[docs/GETTING_STARTED.md](docs/GETTING_STARTED.md) — 新手指南(从这里开始)。** 从零开始在全新的 Ubuntu 机器上运行,无需具备任何先决条件。
前提是假设你没有 Wazuh/Docker/Linux 的相关知识。每一条命令都可以直接复制粘贴。
- [docs/INSTALL.md](docs/INSTALL.md) — 安装手册(前置条件、配置文件、无人值守、物理隔离)
- [docs/ADMIN.md](docs/ADMIN.md) — 管理员手册(架构、systemd/docker、备份、升级、集成)
- [docs/USER_MANUAL.md](docs/USER_MANUAL.md) — 用户手册(各服务详细操作指南)
## 管理
```
soc-suite status # health table
soc-suite restart # restart a module
soc-suite update # pull pinned service updates
soc-suite backup # snapshot DBs + config + iris volumes
```
## 配置方案
`core` · `trackers` · `roadmap` · `full` — 选择要部署的技术栈范围。详见 INSTALL.md。
私有项目。© CisoDiagonal。各组件服务保留在其各自的仓库中;此捆绑包通过 git submodules 引用它们。
标签:Docker, Wazuh, 威胁情报, 安全运营中心, 安全防御评估, 密钥管理, 库, 应急响应, 开发者工具, 版权保护, 特权提升, 网络映射, 自动化部署, 请求拦截, 逆向工具