KimberleyMsengezi/SIEM-ELK-Threat-Forge

# ELK-ThreatForge 🔥 ## 项目概述 SIEM-ELK-ThreatForge 是一个完全容器化、基于生产环境的开源 SIEM 平台，旨在复刻阿联酋及全球顶级 MSSP（托管安全服务提供商）所使用的企业级检测工程技术。该实验环境基于 Elastic Stack 8.15+ 构建，利用 **Elastic Agent Fleet 管理模拟**、**结合 Painless 脚本的自定义 Ingest Pipeline** 进行实时日志增强（geo-IP、User-Agent 解析、MITRE 标记），以及 **Event Query Language (EQL)** + **Kibana Query Language (KQL)** 实现远超基础基于规则告警的高保真行为关联。 该架构采用单节点 Elasticsearch 集群，配备 **ILM 策略**、用于长期保留的 **Rollup 索引**，以及 **机器学习异常检测作业**（通过混合 Python + Elastic ML 模拟）。日志采集通过 **Filebeat + Winlogbeat + 自定义 Elastic Agent 策略** 处理，转发来自多个模拟端点的 Windows EVTX、Linux auditd/syslog 和网络流数据。 威胁检测由 **15+ 条自定义 Sigma 转 EQL 规则** 驱动，直接映射到 MITRE ATT&CK v14（T1003.001 凭据转储、T1021 横向移动、T1486 勒索软件影响、T1566 钓鱼）。检测引擎使用 **基于序列的 EQL** 进行多事件关联（例如：“登录失败 → LSASS 访问 → 60秒内 SMB 横向移动”）。 异常检测通过 **scikit-learn Isolation Forest + 统计基线 Python 模块** 进行增强，该模块通过 Elasticsearch Python 客户端摄取增强后的日志，标记非工作时间的暴力破解、不可能的行程（Impossible Travel）和基于熵的命令行异常，自动导出 STIX 2.1 IOC 并触发 Kibana 告警。 所有组件通过 Docker Compose 编排（包含持久化卷和健康检查），实现一键部署。模拟攻击面使用 Atomic Red Team TTP + 自定义 PowerShell/Cobalt-Strike 模拟脚本，每次模拟运行产生 500–2000 个事件。专业的事件响应工件（时间线、杀伤链映射、执行摘要）自动生成。 ## 截图画廊（实时 SIEM 运行展示） **请将上方的 4 张占位图替换为您的真实截图**（参见下方说明）。 ## 架构（现代 Elastic 8.x 设计） ``` graph TD A[Endpoints: Windows + Linux + Auditd] -->|Elastic Agent + Filebeat/Winlogbeat| B[Ingest Pipelines + Painless Enrichment] B --> C[Elasticsearch 8.x + ILM + Rollups] C --> D[Kibana 8.x + EQL/KQL + ML Jobs + Alerting Framework] D --> E[Custom Detection Rules + MITRE ATT&CK Mapping + Sigma] E --> F[Python ML Anomaly (Isolation Forest) + STIX IOC Export] F --> G[Automated Incident Reports + Threat Hunt Playbooks] ```

标签：AMSI绕过, Apex, Cloudflare, Docker, Docker Compose, Elastic Agent, Elastic Stack, ELK, EQL, JSONLines, KQL, MITRE ATT&CK, MIT许可证, Painless 脚本, PE 加载器, Python, SecOps, Sigma 规则, 事件关联分析, 云安全架构, 域名分析, 威胁检测, 安全仪表盘, 安全实验室, 安全运营, 安全防御评估, 容器化安全, 异常检测, 扫描框架, 攻击模拟, 无后门, 日志摄入管道, 机器学习, 流量重放, 网络安全, 请求拦截, 逆向工具, 隐私保护, 零信任, 驱动签名利用