0x1void/SOC-ORCA

GitHub: 0x1void/SOC-ORCA

SOC-ORCA 是一个端到端的自建蓝队/SOC 实验环境,帮助使用者通过完整的安全可见性链路学习和实践 SOC 分析师技能。

Stars: 1 | Forks: 0

# SOC-ORCA ### Operational Response & Cyber Analytics — 一个自建的 Blue Team / SOC homelab **网络分段 · 身份管理 · Endpoint 遥测 · SIEM 检测 · 事件响应 — 端到端部署于单个工作站。** ![状态](https://img.shields.io/badge/status-active%20development-brightgreen) ![关注点](https://img.shields.io/badge/focus-Blue%20Team%20%7C%20SOC-2563eb) ![SIEM](https://img.shields.io/badge/SIEM-Wazuh-e10098) ![Hypervisor](https://img.shields.io/badge/hypervisor-KVM%2Flibvirt-cc0000) ![IaC](https://img.shields.io/badge/IaC-Terraform-7B42BC)
## 🇫🇷 概述 SOC-ORCA(**Operational Response & Cyber Analytics**)是我为了端到端学习 SOC 分析师技能而独自构建的防御性安全 homelab:包括网络分段、集中化身份管理、endpoint 监控、收集与关联日志、检测威胁以及掌握响应方法。 所有环境都在单个虚拟化工作站(KVM/libvirt)上运行。我的目标不是单纯地堆砌工具,而是构建一条完整的可见性链路——从网络帧到 SIEM 告警——并真正理解分析师在看什么、为什么看,以及他们是如何进行调查的。 **本项目展示的内容:** - 网络分段与 *Deny by Default* 防火墙(流量可见性) - 集中化身份管理、RBAC、身份验证遥测 - Endpoint 监控(Windows + Linux)以实现检测 - 加密流量检测(洞察隐藏在 HTTPS 中的 C2 通信) - **SIEM、检测与告警**(Wazuh、Sysmon)——该角色的核心任务 - 漏洞管理、检测验证与事件响应 ## 🇺🇸 概述 SOC-ORCA(**Operational Response & Cyber Analytics**)是我为了端到端学习 SOC 分析师技能而独自构建的防御性安全 homelab:包括网络分段、集中化身份管理、监控 endpoint、收集与关联日志、检测威胁以及掌握响应方法。 所有环境都在单个虚拟化工作站(KVM/libvirt)上运行。目标不是单纯地堆砌工具——而是构建一条完整的可见性链路,从网络帧到 SIEM 告警,并理解分析师在看什么、为什么看,以及他们是如何进行调查的。 **本项目展示的内容:** - 网络分段与 *Deny by Default* 防火墙(流量可见性) - 集中化身份管理、RBAC、身份验证遥测 - Endpoint 监控(Windows + Linux)以实现检测 - 加密流量检测(洞察隐藏在 HTTPS 中的 C2 通信) - **SIEM、检测与告警**(Wazuh、Sysmon)——该角色的核心任务 - 漏洞管理、检测验证与事件响应 ## 🏗️ 架构 ``` flowchart TB NET([Internet]) --> FW[Firewall / IDS - Deny by Default + Logging] FW --> ZONES[Segmented zones - mgmt / servers / workstations / DMZ / data / isolated] ZONES --> ID[Identity - RBAC / Kerberos / auth logs] ZONES --> EP[Endpoints - Sysmon telemetry] ZONES --> ST[Storage - encrypted / access-monitored] FW -. TLS inspection .-> PX[Proxy - decrypt / log] ID --> SIEM[SIEM / SOC - Wazuh + Sysmon + metrics] EP --> SIEM ST --> SIEM PX --> SIEM classDef fw fill:#cc0000,stroke:#fff,color:#fff classDef soc fill:#e10098,stroke:#fff,color:#fff class FW fw class SIEM soc ``` ## 🧰 技术栈 | 领域 | 技术 | |---|---| | Hypervisor | KVM, libvirt, QEMU | | 防火墙 / IDS | pfSense, Suricata | | 身份认证 | 目录服务, Kerberos, RBAC, GPO | | Endpoint | Windows 11, Linux, Sysmon | | 存储 | ZFS, 加密 SMB | | TLS 检测 | Squid SSL Bump, 内部 PKI | | **SIEM / 检测** | **Wazuh, Sysmon, Prometheus + Grafana** | | 漏洞管理 | OpenVAS/GVM, Lynis | | IaC / 容器 | Terraform (本地 state), Podman (rootless) | ## 📚 构建文档 🇫🇷 每个阶段都作为一个完整的构建模块进行记录,并以 SOC 实际应用为导向。参见 **[docs/phases](docs/phases/)**。 🇺🇸 每个阶段都作为一个完整的构建模块进行记录,并围绕 SOC 的实际应用来构建。参见 **[docs/phases](docs/phases/)**。 | # | 阶段 | SOC 关注点 | |---|---|---| | 1 | 网络分段与防火墙 | 流量可见性、爆炸半径控制、IDS | | 2 | 集中化身份与访问控制 | 身份验证遥测、RBAC、Kerberos | | 3 | Endpoint 接入与遥测 | Endpoint 可见性、Sysmon 准备 | | 4 | 安全存储与数据保护 | 数据访问监控、弹性恢复 | | 5 | Zero Trust 与 TLS 检测 | 加密流量可见性、proxy 日志 | | 6 | **SOC:监控、SIEM 与检测** | **分析师控制台** | | 7 | 服务与强化访问 | Bastion、MFA、管理员审计追踪 | | 8 | 防御性审计、漏洞管理与治理 | 检测验证、IR、治理 | ## 📌 我的学习收获 🇫🇷 这个 homelab 是我将其从“让它跑起来”提升到“检测、理解并响应”的训练场。每个阶段都构建了一层可见性,并教会我如何像一名 SOC 分析师那样进行推理。 🇺🇸 在这个 homelab 中,我正在实现从“让它跑起来”到“检测、理解并响应”的跨越。每个阶段都构建了一层可见性,并教会我如何像一名 SOC 分析师那样进行推理。
**🇫🇷 正在积极开发中的个人项目 —— 欢迎反馈。** **🇺🇸 正在积极开发中的个人项目 —— 欢迎反馈。**
标签:Metaprompt, Wazuh, 安全实验环境, 安全运营中心, 网络映射, 自定义请求头, 虚拟化, 身份验证强制