0x1void/SOC-ORCA
GitHub: 0x1void/SOC-ORCA
SOC-ORCA 是一个端到端的自建蓝队/SOC 实验环境,帮助使用者通过完整的安全可见性链路学习和实践 SOC 分析师技能。
Stars: 1 | Forks: 0
# SOC-ORCA
### Operational Response & Cyber Analytics — 一个自建的 Blue Team / SOC homelab
**网络分段 · 身份管理 · Endpoint 遥测 · SIEM 检测 · 事件响应 — 端到端部署于单个工作站。**





## 🇫🇷 概述
SOC-ORCA(**Operational Response & Cyber Analytics**)是我为了端到端学习 SOC 分析师技能而独自构建的防御性安全 homelab:包括网络分段、集中化身份管理、endpoint 监控、收集与关联日志、检测威胁以及掌握响应方法。
所有环境都在单个虚拟化工作站(KVM/libvirt)上运行。我的目标不是单纯地堆砌工具,而是构建一条完整的可见性链路——从网络帧到 SIEM 告警——并真正理解分析师在看什么、为什么看,以及他们是如何进行调查的。
**本项目展示的内容:**
- 网络分段与 *Deny by Default* 防火墙(流量可见性)
- 集中化身份管理、RBAC、身份验证遥测
- Endpoint 监控(Windows + Linux)以实现检测
- 加密流量检测(洞察隐藏在 HTTPS 中的 C2 通信)
- **SIEM、检测与告警**(Wazuh、Sysmon)——该角色的核心任务
- 漏洞管理、检测验证与事件响应
## 🇺🇸 概述
SOC-ORCA(**Operational Response & Cyber Analytics**)是我为了端到端学习 SOC 分析师技能而独自构建的防御性安全 homelab:包括网络分段、集中化身份管理、监控 endpoint、收集与关联日志、检测威胁以及掌握响应方法。
所有环境都在单个虚拟化工作站(KVM/libvirt)上运行。目标不是单纯地堆砌工具——而是构建一条完整的可见性链路,从网络帧到 SIEM 告警,并理解分析师在看什么、为什么看,以及他们是如何进行调查的。
**本项目展示的内容:**
- 网络分段与 *Deny by Default* 防火墙(流量可见性)
- 集中化身份管理、RBAC、身份验证遥测
- Endpoint 监控(Windows + Linux)以实现检测
- 加密流量检测(洞察隐藏在 HTTPS 中的 C2 通信)
- **SIEM、检测与告警**(Wazuh、Sysmon)——该角色的核心任务
- 漏洞管理、检测验证与事件响应
## 🏗️ 架构
```
flowchart TB
NET([Internet]) --> FW[Firewall / IDS - Deny by Default + Logging]
FW --> ZONES[Segmented zones - mgmt / servers / workstations / DMZ / data / isolated]
ZONES --> ID[Identity - RBAC / Kerberos / auth logs]
ZONES --> EP[Endpoints - Sysmon telemetry]
ZONES --> ST[Storage - encrypted / access-monitored]
FW -. TLS inspection .-> PX[Proxy - decrypt / log]
ID --> SIEM[SIEM / SOC - Wazuh + Sysmon + metrics]
EP --> SIEM
ST --> SIEM
PX --> SIEM
classDef fw fill:#cc0000,stroke:#fff,color:#fff
classDef soc fill:#e10098,stroke:#fff,color:#fff
class FW fw
class SIEM soc
```
## 🧰 技术栈
| 领域 | 技术 |
|---|---|
| Hypervisor | KVM, libvirt, QEMU |
| 防火墙 / IDS | pfSense, Suricata |
| 身份认证 | 目录服务, Kerberos, RBAC, GPO |
| Endpoint | Windows 11, Linux, Sysmon |
| 存储 | ZFS, 加密 SMB |
| TLS 检测 | Squid SSL Bump, 内部 PKI |
| **SIEM / 检测** | **Wazuh, Sysmon, Prometheus + Grafana** |
| 漏洞管理 | OpenVAS/GVM, Lynis |
| IaC / 容器 | Terraform (本地 state), Podman (rootless) |
## 📚 构建文档
🇫🇷 每个阶段都作为一个完整的构建模块进行记录,并以 SOC 实际应用为导向。参见 **[docs/phases](docs/phases/)**。
🇺🇸 每个阶段都作为一个完整的构建模块进行记录,并围绕 SOC 的实际应用来构建。参见 **[docs/phases](docs/phases/)**。
| # | 阶段 | SOC 关注点 |
|---|---|---|
| 1 | 网络分段与防火墙 | 流量可见性、爆炸半径控制、IDS |
| 2 | 集中化身份与访问控制 | 身份验证遥测、RBAC、Kerberos |
| 3 | Endpoint 接入与遥测 | Endpoint 可见性、Sysmon 准备 |
| 4 | 安全存储与数据保护 | 数据访问监控、弹性恢复 |
| 5 | Zero Trust 与 TLS 检测 | 加密流量可见性、proxy 日志 |
| 6 | **SOC:监控、SIEM 与检测** | **分析师控制台** |
| 7 | 服务与强化访问 | Bastion、MFA、管理员审计追踪 |
| 8 | 防御性审计、漏洞管理与治理 | 检测验证、IR、治理 |
## 📌 我的学习收获
🇫🇷 这个 homelab 是我将其从“让它跑起来”提升到“检测、理解并响应”的训练场。每个阶段都构建了一层可见性,并教会我如何像一名 SOC 分析师那样进行推理。
🇺🇸 在这个 homelab 中,我正在实现从“让它跑起来”到“检测、理解并响应”的跨越。每个阶段都构建了一层可见性,并教会我如何像一名 SOC 分析师那样进行推理。
**🇫🇷 正在积极开发中的个人项目 —— 欢迎反馈。**
**🇺🇸 正在积极开发中的个人项目 —— 欢迎反馈。**
标签:Metaprompt, Wazuh, 安全实验环境, 安全运营中心, 网络映射, 自定义请求头, 虚拟化, 身份验证强制