agunna99/soc-honeypot-pipeline

# SOC 蜜罐流水线 一个生产级、端到端的安全运营中心 (SOC) 流水线，专为真实的威胁检测和自动化事件响应而构建。 ## 架构 ## 组件 | 组件 | 角色 | 版本 | |---|---|---| | OpenCanary | 蜜罐 — 捕获真实攻击者的 TTPs | 0.9.7 | | Wazuh | SIEM — 日志分析、告警、关联 | 4.9.2 | | Shuffle | SOAR — 自动化告警增强和路由 | 最新版 | | TheHive | 事件响应 — 案例管理 | 5.5.14 | ## 功能 1. OpenCanary 运行伪造的 SSH、FTP、HTTP 和 Telnet 服务 2. 真实攻击者在部署后几分钟内与蜜罐交互 3. Wazuh 代理将蜜罐日志发送至 Wazuh 管理器 4. 自定义 Wazuh 规则针对蜜罐交互触发 12-15 级别告警 5. Wazuh 在每次触发 7 级以上告警时通过 webhook 触发 Shuffle 6. Shuffle 工作流处理并丰富告警信息 7. TheHive 自动接收告警并创建事件案例 ## 捕获的真实威胁情报 在部署 3 分钟内，此流水线捕获了真实的 SSH 暴力破解攻击，包括： - 来自多个国家的攻击者 IP - 尝试使用的真实凭据（用户名和密码） - 攻击时间和频率模式 - SSH 客户端指纹（libssh2，OpenSSH for Windows） ## 技术栈 - **OpenCanary** - 蜜罐 (SSH, FTP, HTTP, Telnet) - **Wazuh 4.9.2** - 具有自定义检测规则的 SIEM - **Shuffle** - SOAR 自动化平台 - **TheHive 5.5** - 事件响应与案例管理 ## 快速开始 ### 1. 部署蜜罐 ``` pip install opencanary cp configs/opencanary.conf /etc/opencanaryd/ systemctl start opencanary ``` ### 2. 配置 Wazuh 规则 ``` cp rules/local_rules.xml /var/ossec/etc/rules/ systemctl restart wazuh-manager ``` ### 3. 部署 TheHive 集成 ``` cp integrations/custom-thehive* /var/ossec/integrations/ chmod 750 /var/ossec/integrations/custom-thehive* ``` ### 4. 部署 Shuffle ``` git clone https://github.com/Shuffle/Shuffle cd Shuffle && docker compose up -d ``` ## 作者 Favour Nmosi — 网络安全工程师 全球人才签证作品集项目 GitHub: https://github.com/agunna99

标签：BOF, BurpSuite集成, CIDR查询, CISA项目, meg, Shuffle, SOAR, SSH暴力破解, TheHive, Wazuh, 信息安全, 免杀技术, 威胁情报, 子域名枚举, 安全事件响应, 安全告警, 安全运营中心, 库, 应急响应, 底层分析, 开发者工具, 攻击溯源, 攻击者IP分析, 暴力破解检测, 欺骗防御, 监控与检测, 端到端安全, 系统安全, 网络安全, 网络映射, 自动化编排, 蜜罐, 证书利用, 请求拦截, 隐私保护