robertpreshyl/allyshipseclabs-azure-tpot-threat-research

GitHub: robertpreshyl/allyshipseclabs-azure-tpot-threat-research

在 Azure 云上部署 T-Pot 蜜罐平台，结合 NetBird 零信任网络和 Security Onion SIEM，实现真实攻击捕获与威胁情报分析的完整安全研究架构。

Stars: 0 | Forks: 0

# 🛡️ Allyship Security Labs：具备零信任架构的高级 T-Pot 蜜罐 [![网络安全](https://img.shields.io/badge/Cybersecurity-Research-blue?style=for-the-badge&logo=shield&logoColor=white)](https://github.com/topics/cybersecurity) [![蜜罐](https://img.shields.io/badge/Honeypot-T--Pot-orange?style=for-the-badge&logo=bug&logoColor=white)](https://github.com/dtag-dev-sec/tpotce) [![Azure](https://img.shields.io/badge/Cloud-Azure-blue?style=for-the-badge&logo=microsoft-azure&logoColor=white)](https://azure.microsoft.com/) [![威胁情报](https://img.shields.io/badge/Threat-Intelligence-red?style=for-the-badge&logo=search&logoColor=white)](https://github.com/topics/threat-intelligence) [![零信任](https://img.shields.io/badge/Architecture-Zero%20Trust-green?style=for-the-badge&logo=lock&logoColor=white)](https://github.com/topics/zero-trust) [![NetBird](https://img.shields.io/badge/NetBird-Integration-purple?style=for-the-badge&logo=network&logoColor=white)](https://netbird.io/) [![Security Onion](https://img.shields.io/badge/SIEM-Security%20Onion-yellow?style=for-the-badge&logo=monitor&logoColor=white)](https://securityonion.net/) [![研究完成](https://img.shields.io/badge/Status-Research%20Complete%20%7C%20Archived-success?style=for-the-badge&logo=check-circle&logoColor=white)](https://github.com/robertpreshyl/allyshipsec-tpot-azure-research)

## 🚀 项目概述本项目在 **Microsoft Azure** 上部署了一个 **T‑Pot 蜜罐**，并通过 **NetBird** 和 **Elastic Fleet Agents（数据汇聚至本地部署的 Security Onion）**增强了安全控制，旨在保持**零信任架构**的同时捕获并分析真实世界的网络攻击。在最后的 7 天窗口期内，该部署在多个蜜罐中捕获了超过 **451,000 次攻击企图**。同时，在 9 月 4 日至 13 日期间，Security Onion 记录了来自 T‑Pot 系统及 NetBird WireGuard 网络上各个端点的超过 **18,300,651 次主机遥测事件**，为外部攻击和内部系统行为提供了全面的可见性。NetBird 的Overlay网络使得在离家期间也能安全、随时（包括移动端）访问仪表盘和检测结果。 ## 📚 文档 **📖 [完整文档目录](docs/README.md)** - 综合文档门户 ### 快速访问 - **🚀 [安装指南](docs/setup-guide.md)** - 完整部署说明 - **⚡ [快速入门](docs/quick-start.md)** - 面向有经验用户的快速部署 - **🔧 [故障排除](docs/troubleshooting.md)** - 常见问题与解决方案 - **🏗️ [架构概述](docs/context.md)** - 技术架构与设计决策 ### 配置指南 - **🖥️ [Azure VM 设置](docs/azure-configuration/vm-configuration.md)** - 虚拟机配置与设置 - **🔒 [网络安全](docs/azure-configuration/nsg-rules.md)** - NSG 规则和防火墙配置 - **🔐 [SSL 配置](docs/azure-configuration/ssl-configuration.md)** - Let's Encrypt 证书设置 ### 安全与监控 - **🛡️ [零信任架构](docs/security-enhancements/zero-trust-architecture.md)** - 高级安全实现 - **🔗 [NetBird 集成](docs/security-enhancements/netbird-integration.md)** - 安全网络访问 - **📊 [Elastic Fleet 设置](docs/security-enhancements/elastic-fleet-setup.md)** - 综合监控 ### 研究发现 - **📈 [攻击分析](docs/research-findings/attack-analysis.md)** - 详细的攻击模式分析 - **🎯 [威胁情报](docs/research-findings/threat-intelligence.md)** - 威胁行为者洞察 - **🌍 [主要攻击者](docs/research-findings/top-attackers.md)** - 地理攻击分布 ### 🎯 核心技术 - **T-Pot** - 多合一多功能蜜罐平台 - **Azure VM + Azure Blob Storage** - 云基础设施托管与持久化数据保留 - **Security Onion** - 用于集中分析的本地 SIEM - **Elastic Stack** - Kibana 仪表盘、Elasticsearch 用于数据存储、OSQuery 用于主机查询 - **Let's Encrypt** - SSL/TLS 证书管理（虽然 Netbird 已经提供了安全的 WireGuard 隧道） - **NetBird** - 零信任网络访问 - 安装在所有端点上，用于 NAT 穿透、安全的本地/云连接，以及通过访问控制来决定在家或离家时哪些端点具有访问权限。（这在离家时能够通过 Netbird 100.x.x.x/16 快速查看 Security Onions 的仪表盘和检测结果方面特别有用） - **Elastic Fleet Agents** - 对所有本地/云端端点进行行为监控和日志转发至 SIEM。 - **OsQuery** - 查询端点 ## 🏗️ 架构演进本项目代表了我的 Allyship Security Labs 基础设施的**下一次演进**。虽然我之前的项目使用 NetBird 和 Security Onion 建立了环境之间的安全网络连接，但此次蜜罐部署展示了如何在保持完整可见性和控制力的同时，安全地暴露面向互联网的服务。 ### 🔧 增强的架构组件 - **🔐 NetBird 零信任访问**：使用由 NetBird 管理的 WireGuard 隧道取代了直接的 SSH 访问（仅通过 Netbird 的 IP 连接/访问端点） - **📊 Elastic Fleet 集成**：部署代理以监控主机行为并安全地将日志转发到本地 Security Onion（再次使用 Netbird 的 WireGuard IP，这确保了端点之间传输中的所有数据都被加密和保护） - **🎯 综合威胁情报**：结合来自 T-Pot 面向互联网实时攻击捕获的行为上下文，捕获并分析真实世界的攻击模式。 ## 🎯 项目亮点

| 指标 | 数值 | 描述 | |--------|-------|-------------| | 🎯 **总攻击次数（7 天）** | 451,000+ | 所有传感器最终捕获的攻击数 | | 🐝 **各蜜罐总计** | Cowrie 213k • Sentrypeer 225k • Tanner 3k • H0neytr4p 4k • Dionaea 2k • Redishhoneypot 1k | 来自 Kibana 仪表盘 | | 📊 **主机事件（9 月 4–13 日）** | 18.3M+ | Security Onion (Elastic Fleet + Osquery) | | 🌍 **主要国家** | 罗马尼亚、美国、荷兰、中国、香港 | 主要攻击来源 | | 🔐 **零信任** | ✅ | 由 NetBird 管理的访问 | | 📊 **双重监控** | ✅ | 攻击 + 主机行为分析 | | 🛡️ **合规性** | ✅ | 符合 Azure 及 GDPR 要求 |

### 🚀 主要成就 - **🎯 在 7 天内使用安全隔离的蜜罐捕获了 451,000+ 次攻击企图** - **📊 通过 Elastic Fleet + Osquery 向 Security Onion 收集了超过 1830 万次主机/端点事件** - **🔐 使用由 NetBird 管理的 WireGuard 隧

标签：Azure, CISA项目, Cybersecurity, Elastic Fleet, Honeypot, IP 地址批量处理, MIT许可证, NetBird, Security Onion, Zero Trust, 云部署, 命令控制, 威胁情报, 安全架构, 密码管理, 开发者工具, 恶意攻击监控, 插件系统, 攻击分析, 数据采集, 漏洞捕获, 网络安全, 自定义脚本, 蜜罐, 证书利用, 请求拦截, 越狱测试, 隐私保护, 零信任架构