travis8gunter/elastic-security-portfolio

# Elastic 安全作品集 – 个人实验室 一个专注于**检测工程**、**SIEM 配置**和**安全运营实验**的个人 Elastic Stack 实验室环境。旨在通过构建自定义检测逻辑、数据摄取 pipeline、index 管理和威胁富化工作流，深化对 Elastic Security（Elasticsearch + Kibana + Elastic Agent/Fleet）的实操专业技能。 本仓库作为我的作品集展示，呈现了我在自托管实验室中设计、测试和优化过的 Elastic 配置。它非常适合用于蓝队技能培养、规则调优以及理解生产级 SIEM 架构。 ## 项目目标 - 为常见攻击模式（例如：暴力破解、凭证访问、异常执行）构建原型并验证**自定义检测规则**。 - 构建并优化 **ingest pipeline**，用于日志标准化、富化（geoip、威胁情报模拟）和降噪。 - 试验 **Index Lifecycle Management (ILM)** 策略、rollover alias 以及数据保留策略。 - 创建 **index template** 和组件模板，以实现一致的映射和聚焦安全的设置。 - 开发 **Kibana dashboards**、保存的搜索和可视化效果，用于威胁狩猎和告警监控。 - 探索威胁情报摄取和规则管理的自动化（Python 脚本）。 所有配置均在受控的隔离实验室环境中，使用模拟或开源日志源进行了测试。 ## 实验室架构与设置 使用 Docker Compose 或直接安装的单节点 Elastic Stack 部署（适用于笔记本电脑/家庭服务器）。 ### 核心组件 - **Elasticsearch**（8.x 系列）—— Indexing、搜索和安全规则引擎。 - **Kibana** —— 仪表板、检测引擎和规则创建。 - **Elastic Agent / Fleet** —— 终端和日志收集模拟。 - **Filebeat / Syslog 源** —— 摄取边界日志、认证事件、系统遥测数据。 ### 快速开始（基于 Docker） 1. 克隆仓库： git clone https://github.com/travis8gunter/elastic-security-portfolio.git cd elastic-security-portfolio docker-compose up -d

标签：Elastic Stack, Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 流量重放, 请求拦截, 越狱测试, 逆向工具