diagonalciso/wazuh-full-soc

GitHub: diagonalciso/wazuh-full-soc

一个以 Wazuh SIEM 为核心、通过单命令在单机部署完整安全运营中心的开源项目,整合了告警分诊、威胁情报、漏洞管理、事件响应等十余个关联服务。

Stars: 1 | Forks: 0

# Wazuh 完整 SOC **一条命令部署完整的、自托管的 Security Operations Center**,围绕外部的 [Wazuh](https://wazuh.com) SIEM — 包含告警分诊、威胁情报、漏洞管理、事件 响应、欺骗技术,以及统一的运营大屏。 Wazuh Full SOC 打包了 SOC 中心起始页(**CD-Startpage**)及其链接的所有服务,并通过 单个安装程序将整个技术栈部署起来。 ``` git clone --recursive git@github.com:diagonalciso/wazuh-full-soc.git cd wazuh-full-soc cp config/suite.env.example config/suite.env # edit host + Wazuh + SMTP + keys sudo ./install.sh --profile full --host 192.0.2.10 ``` 然后打开 **http://:8080/** — 即 SOC 运营大屏。 ## 系统要求 | | 最低配置 | 推荐配置 | |---|---|---| | 操作系统 | Ubuntu 22.04 / Debian 12 | Ubuntu 24.04 | | 内存 | 8 GB | 16 GB (Wazuh indexer + socint/OpenSearch 非常消耗内存) | | 磁盘 | 40 GB | 100 GB+ SSD | | CPU | 4 核 | 8 核 | | GPU | — (仅 CPU 的 AI 也可运行) | NVIDIA GPU (CUDA) — socops AI 分诊在 GPU 卸载的 llama-server 上运行速度要快一个数量级 | | 软件 | `python3 >= 3.11`, `git`, `openssl`, `curl`, **Docker + `docker compose` 插件** | | | 权限 | root / `sudo` | | `vm.max_map_count=262144` 会自动设置。完整详情 → [docs/INSTALL.md](docs/INSTALL.md)。 ## 包含内容 | 服务 | 端口 | 用途 | |---------|------|---------| | **CD-Startpage** (枢纽) | 8080 | 运营大屏 — 实时 KPI、攻击者地图、服务状态 | | socops | 8081 | AI 辅助的告警分诊 + 富化 (Wazuh) | | SBOMguard | 8082 | SBOM / CVE 漏洞态势 | | socint | 8000 / 8083 | ~40 个连接器的 STIX 2.1 威胁情报平台 (Docker) | | ir-case-manager | 8206 | 事件响应 case 管理 | | socmap | 8100 | 实时攻击地图 | | DFIR-IRIS | 8443 | 事件响应 case 平台 (Docker) | | roadmap-dashboard | 8090 | 统一路线图门户 | | phishing-analyzer | 8091 | 邮件解析 + IOC 提取 | | attack-surface-monitor | 8092 | 外部暴露监控 | | canary-token-manager | 8093 | 欺骗 token | | credential-exposure-monitor | 8094 | 数据泄露 / 凭据监控 | | passive-dns-monitor | 8095 | DNS / 子域名追踪 | | ransomware-tracker | 8096 | 勒索软件受害者/组织追踪器 | | shinyhunters-tracker | 8097 | ShinyHunters 行为追踪器 | | qilin-tracker | 8098 | Qilin 行为追踪器 | | CyberChef | 8102 | GCHQ 数据解码 / 加密 / 格式工具包 (Docker) | | SpiderFoot | 8103 | OSINT 侦察 / 攻击面自动化 (Docker) | | **Wazuh** SIEM | 443 (仪表盘), 9200, 55000, 1514/1515 | Indexer + manager + dashboard,由套件进行 **all-in-one** 安装 | **全部集中在一台服务器上。** Wazuh Full SOC 通过官方 `wazuh-install.sh -a` 安装 **Wazuh** SIEM (indexer + manager + dashboard),并将每个服务与其连接。在 `suite.env` 中设置 `INSTALL_WAZUH=false`,即可指向预先存在的外部 Wazuh。*Wazuh Map* 链接指向 Wazuh 主机上的可选攻击地图(默认仅为链接)。 ## 文档 - 🆕 **[docs/GETTING_STARTED.md](docs/GETTING_STARTED.md) — 新手指南(从这里开始)。** 从零开始在全新的 Ubuntu 机器上运行,无需具备任何先决条件。 前提是假设你没有 Wazuh/Docker/Linux 的相关知识。每一条命令都可以直接复制粘贴。 - [docs/INSTALL.md](docs/INSTALL.md) — 安装手册(前置条件、配置文件、无人值守、物理隔离) - [docs/ADMIN.md](docs/ADMIN.md) — 管理员手册(架构、systemd/docker、备份、升级、集成) - [docs/USER_MANUAL.md](docs/USER_MANUAL.md) — 用户手册(各服务详细操作指南) ## 管理 ``` soc-suite status # health table soc-suite restart # restart a module soc-suite update # pull pinned service updates soc-suite backup # snapshot DBs + config + iris volumes ``` ## 配置方案 `core` · `trackers` · `roadmap` · `full` — 选择要部署的技术栈范围。详见 INSTALL.md。 私有项目。© CisoDiagonal。各组件服务保留在其各自的仓库中;此捆绑包通过 git submodules 引用它们。
标签:Docker, Wazuh, 威胁情报, 安全运营中心, 安全防御评估, 密钥管理, 库, 应急响应, 开发者工具, 版权保护, 特权提升, 网络映射, 自动化部署, 请求拦截, 逆向工具