IMMANUEL-88/cloud-siem-wazuh

GitHub: IMMANUEL-88/cloud-siem-wazuh

一个基于蜜罐与SIEM的实时SSH威胁情报管道，解决攻击捕获、规范化与可视化问题。

Stars: 0 | Forks: 0

# 高级威胁情报管道：实时SSH蜜罐与SIEM ## 📌 项目概述一个端到端的网络威胁情报管道，旨在捕获、规范化和可视化实时的SSH暴力破解攻击。该项目利用自定义配置的Cowrie蜜罐安全捕获威胁行为者，通过Wazuh SIEM和Filebeat处理器进行遥测传输，实现实时的地理IP提取和行为分析，并在OpenSearch Dashboards中展示。 ## 👨‍💻 作者

_{Immanuel Jeyam}

## 💡 架构图

Architecture Diagram

## 🛠️ 技术栈 * **安全与SIEM：**Wazuh、Cowrie SSH蜜罐 * **数据处理：**Filebeat（管道处理器、字符串操作） * **可视化：**OpenSearch Dashboards、Vega可视化语法（TopoJSON） * **基础设施：**Ubuntu Linux、`iptables`（端口转发） ## 🚀 关键工程特性 * **自主威胁映射：**设计了一个自定义Vega脚本，以`equalEarth`投影渲染地图，绘制从攻击者坐标到目标服务器的实时点对点飞行路径。 * **数据规范化管道：**通过构建Filebeat管道解决了GeoIP引擎限制，该管道主动变更原始JSON键（例如将`src_ip`改为`srcip`），并在飞行过程中注入静态服务器坐标。 * **事后分析：**设计了自定义数据表，隔离高级威胁行为者的行为，包括工具指纹识别（例如Zmap、Masscan）和恶意有效载荷URL跟踪。 * **凭证跟踪：**配置了实时提取和可视化顶级字典攻击凭证（用户名和密码），通过原生JSON解码实现。 ## 📊 实时仪表板展示 - **实时威胁地图与地理云图** ![截图1：主SOC指挥中心](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/1b369d3650230521.png) - **前10名攻击者用户名和密码** ![截图2：主SOC指挥中心](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/069e4c21a7230522.png) - **攻击者工具指纹识别** ![截图3：主SOC指挥中心](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/7cd82cd5ee230523.png) - **事后攻击者命令** ![截图4：主SOC指挥中心](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/9a351d73e6230525.png) ## 📂 仓库内容 * `/dashboards` - 导出的OpenSearch `.ndjson`文件，包含所有自定义可视化配置和Vega地图脚本。 * `/configs` - 核心配置文件，包括Filebeat管道、Cowrie设置和iptables路由脚本。

标签：Filebeat, GeoIP, HTTP工具, iptables, JSON键重命名, Masscan, Mutation, PE 加载器, SSH Honeypot, SSH暴力破解, TopoJSON, Vega可视化, VEH, Wazuh, Zmap, 凭证追踪, 可视化, 威胁情报, 子域名侦测, 字典攻击, 实时数据管道, 开发者工具, 攻击路径追踪, 数据归一化, 日志处理, 端口转发, 端对端威胁情报, 等面积投影地图, 网络安全, 蜜罐, 证书利用, 隐私保护